Intelligence artificielle - une réglementation en construction

 

Ce qu'il faut retenir

L’Union européenne est entrain de construire un droit européen de l’intelligence artificielle : une proposition de règlement, dont l’objet est d’établir des règles harmonisées, a été publiée en avril 2021, axée sur les risques et la responsabilisation des producteurs de systèmes d’intelligence artificielle, suivie de deux propositions de directives le 28 septembre 2022, dont l’objet est de définir et d’encadrer le régime de responsabilité lié aux systèmes d’IA. Ce règlement devrait être adopté d’ici début 2024. Le présent article porte sur la proposition de règlement - ou AI Act.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-intelligence-artificielle-une-reglementation-en-construction

Le nouveau site web du cabinet est en ligne

Le nouveau site web du cabinet Deleporte Wentz Avocat est en ligne depuis le 1er juillet !

Notre site web nouvelle version, revu et mis à jour, dispose d'un design modernisé et d'une nouvelle identité numérique, dont un nouveau logo.

 

 

Pour continuer à suivre les actualités et publications du cabinet, rendez-vous sur www.dwavocat.com

La protection des données personnelles : un droit fondamental, mais non absolu

 

Ce qu’il faut retenir

Le droit à la protection des données personnelles est un droit fondamental mais non absolu. Les juges sont régulièrement amenés à le mettre en balance avec d’autres droits fondamentaux, selon le principe de proportionnalité.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-protection-des-donnees-personnelles-un-droit-fondamental-mais-non-absolu

Projets IT en mode Agile : comment maîtriser les risques juridiques

  

Ce qu'il faut retenir 

Les méthodes Agiles, de plus en plus utilisées depuis le début des années 2000 pour gérer les projets informatiques, comportent de nombreux avantages, particulièrement en termes de flexibilité, mais peuvent également être source de litiges si le projet n’est pas géré de manière rigoureuse.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-projets-it-en-mode-agile-comment-maitriser-les-risques-juridiques 

Contrefaçon ou liberté de création : Ce que la décision MetaBirkins signifie pour les créateurs numériques

 

 

Ce qu’il faut retenir

Dans l’une des premières affaires relatives au droit des marques dans le métavers, le jury du tribunal du District Sud de New York vient de rendre une décision selon laquelle un artiste utilisant une marque associée à des NFTs, sans l’accord de ses ayants droit est coupable de contrefaçon.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-contrefacon-ou-liberte-de-creation-ce-que-la-decision-metabirkins-signifie-pour-les-createurs-numeriques 

Prévention de la diffusion de contenus terroristes en ligne : les nouvelles règles applicables

L’un des axes de la lutte anti-terroriste et contre la radicalisation porte sur la lutte contre la diffusion sur internet de contenus à caractère terroriste. L’Union européenne a renforcé sa réglementation en la matière avec l’adoption du règlement relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO”, le 29 avril 2021. (1)

En France, après l’adoption de la loi du 24 août 2021, la réglementation relative à la lutte contre la diffusion de contenus terroristes en ligne vient d’être complétée par la loi du 16 août 2022. (2)

Cette loi poursuit et complète l’adaptation du droit français à la lutte contre la diffusion de contenus terroristes suite à l’entrée en application du règlement européen le 7 juin 2022. la nouvelle réglementation précise les conditions relatives à la notification et au retrait des contenus à caractère terroriste, les sanctions applicables pour non-respect de l’obligation de retrait, et enfin, les recours ouverts aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait de contenus.


1. Les règles relatives au retrait des contenus à caractère terroriste

La notion de “contenu à caractère terroriste” est précisément définie et les différents cas de figure listés dans le règlement comme “un ou plusieurs des types de matériel suivants, à savoir le matériel qui:
    a) incite à la commission de l’une des infractions visées à l’article 3, paragraphe 1, points a) à i), de la directive (UE) 2017/541, lorsque ce matériel prône la commission d’infractions terroristes, directement ou indirectement, par exemple en glorifiant les actes terroristes, entraînant ainsi le risque qu’une ou plusieurs de ces infractions soient commises ;
    b) sollicite une personne ou un groupe de personnes pour commettre l’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541, ou pour contribuer à la commission de l’une de ces infractions;
    c) sollicite une personne ou un groupe de personnes pour participer aux activités d’un groupe terroriste au sens de l’article 4, point b), de la directive (UE) 2017/541;
    d) fournit des instructions concernant la fabrication ou l’utilisation d’explosifs, d’armes à feu ou d’autres armes, ou de substances nocives ou dangereuses, ou concernant d’autres méthodes ou techniques spécifiques aux fins de commettre l’une des infractions terroristes visées à l’article 3 (…) de la directive (UE) 2017/541 ou de contribuer à la commission de l’une de ces infractions;
    e) constitue une menace quant à la commission d’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541.”

L’article 6-1 de la LCEN, modifié par la loi du 24 août 2021 et entré en vigueur le 7 juin 2022,  impose un délai très court - 24 heures - aux hébergeurs techniques et aux fournisseurs de contenus pour retirer ou bloquer les contenus à caractère terroriste. Ce délai court à compter de la réception d’une injonction de retrait de la part des autorités. En France, l’autorité compétente pour émettre les injonctions de retrait ou de blocage de contenus à caractère terroriste est l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication - OCLCTIC.

Les injonctions de retrait doivent notamment être motivées et inclure l’URL exacte pour permettre aux destinataires d’accéder directement au contenu litigieux et prendre les mesures de suspension ou de blocage qui s’imposent.
 
Les fournisseurs de services d’hébergement destinataires d’une injonction de retrait informent l’autorité compétente du retrait ou du blocage du contenu en cause et des date et heure de cette action.  

Un modèle d’injonction de retrait et un modèle de réponse aux autorités figurent en annexe au règlement TCO.

L’OCLCTIC peut par ailleurs communiquer les adresses électroniques dont les contenus auraient un caractère terroriste, aux moteurs de recherche ou aux annuaires pour que ces derniers désindexent lesdits contenus, notamment lorsque le retrait n’a pas été effectué dans les délais impartis.

L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) est identifiée comme l’organisme compétent, par l’intermédiaire d’une personnalité qualifiée désignée en son sein, pour s’assurer notamment de la régularité des demandes de suppression et de déréférencement de contenus.

L’Arcom est également en charge de recueillir auprès des hébergeurs les informations nécessaires au suivi de l’application de leur obligation de retrait ou de blocage et de les mettre en demeure de se conformer à leurs obligations de retrait ou de rétablissement éventuel de contenus litigieux


2. Les sanctions applicables pour non-respect de l’obligation de retrait

Ces dispositions sont complétées par les nouveaux articles 6-1-1 à 6-1-5 de la LCEN qui précisent les modalités pratiques de la mise en oeuvre des injonctions de retrait et notamment les sanctions pénales applicables pour non-respect de l’obligation de retrait ou de blocage de contenus à caractère terroriste.

Le montant des sanctions est à la hauteur de l’enjeu de sécurité publique. En effet, l’absence de retrait ou de blocage d’un tel contenu par un hébergeur ou un éditeur de contenu dans le délai d’une heure à compter de la réception d’une injonction est punie d’un an d’emprisonnement et de 250.000 euros d’amende, ou 1.250.000 euros d’amende pour les personnes morales, qui peuvent par ailleurs être déclarées pénalement responsables. Lorsque cette infraction est commise “de manière habituelle” par une personne morale, l’amende peut atteindre 4% de son chiffre d’affaires mondial pour l’exercice N-1.

En cas de non-respect de leurs obligations de diligence vis-à-vis de ces contenus, l’Arcom peut en outre prononcer une amende administrative à l’encontre des hébergeurs fautifs, pouvant atteindre 4% de leur chiffre d’affaires mondial pour l’exercice N-1. Le montant de la sanction prend en considération plusieurs critères d’appréciation, tels que la nature, la gravité et la durée du manquement, le caractère intentionnel ou négligent du manquement, son caractère répétitif ou non, la coopération de l’hébergeur avec les autorités compétentes, etc.


3. Quels recours pour les hébergeurs et fournisseurs de contenus contre les injonctions de retrait de contenus ?

La loi prévoit différentes voies de recours aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait.

Les fournisseurs services d’hébergement et de contenus, ainsi que la personnalité qualifiée désignée par l’Arcom, peuvent demander l’annulation d’une injonction de retrait ou de blocage au président du tribunal administratif dans un délai de 48 heures à compter de sa réception par l’hébergeur, ou pour le fournisseur de contenu, à compter du moment où il a été informé du retrait du contenu par l’hébergeur.

De même, les fournisseurs de service d’hébergement et de contenu peuvent demander à la juridiction administrative d’annuler la décision motivée de la personnalité qualifiée désignée par l’Arcom, dans un délai de 48 heures à compter de la notification de cette décision.

Le président du tribunal administratif statue sur la légalité de l’injonction de retrait ou de la décision motivée dans les 72 heures de sa saisine.

    La plateforme Pharos permet à toute personne de signaler les contenus illicites, et notamment les contenus à caractère terroriste. (3) Ces signalements sont ensuite traités par l’OCLCTIC qui peut demander aux hébergeurs et aux fournisseurs de contenus le retrait desdits contenus dans le délai de 24 heures, ou leur blocage par les fournisseurs d’accès et les moteurs de recherche.

Selon les autorités, en 2021 l’OCLCTIC a prononcé près de 15.000 demandes de retrait auprès des hébergeurs et des fournisseurs de contenus.


                                                        * * * * * * * * * * *


(1) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO” (terrorist content online)

(2) Loi n°2021-1109 du 24 août 2021 confortant le respect des principes de la République ;
Loi n°2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne, codifiée aux articles 6-1-1 à 6-1-5 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)

(3) Plateforme Pharos accessible à : https://www.internet-signalement.gouv.fr/PharosS1/

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2022

Les cookie walls validés sous conditions par la CNIL

 

Les règles d’utilisation des cookies doivent être mises à jour par le futur règlement e-privacy, qui n’est toujours pas adopté à ce jour. (1) Toutefois, l’utilisation des cookies est également régie par le RGPD, notamment en ce qui concerne les règles relatives au consentement des internautes.

Suite à l’entrée en application du RGPD, qui a notamment renforcé l’obligation de recueil du consentement des internautes par les responsables du traitement, de nombreux sites web ont mis en place des “cookie walls” (ou “murs de traceurs”) afin d’assurer la perception de revenus publicitaires. L’accès à ces sites est ainsi subordonné soit à l’acceptation des cookies par l’internaute (notamment des cookies de ciblage publicitaire), soit à un paiement ponctuel ou via un abonnement en cas de refus des cookies par l’internaute.

Le 4 juillet 2019, la CNIL a publié des lignes directrices relatives aux cookies et autres traceurs. Ces lignes directrices invalidaient les cookie walls, en précisant notamment que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies. Par la suite, le Conseil d’Etat dans sa décision du 19 juin 2020, a partiellement invalidé les lignes directrices de la CNIL concernant l’interdiction des cookie walls. (2)

Dans une recommandation du 16 mai 2022, la CNIL vient de préciser les conditions de validité des cookie walls. (3)


1. L’existence d’alternatives réelles et satisfaisantes

Dans sa recommandation du 16 mai 2022, la CNIL propose des critères d’évaluation pour apprécier la légalité des cookie walls. Comme précisé par le Conseil d’Etat dans sa décision du 19 juin 2020, ces critères doivent prendre en compte l’existence d’alternatives réelles et satisfaisantes en cas de refus des cookies par l’internaute.

Ainsi, l’éditeur qui met en place un cookie wall doit s’assurer que l’internaute qui refuse les cookies dispose d’une d’alternative réelle et équitable, soit pour accéder au site, soit parce qu’il existe un autre site, facile d’accès et sans cookie wall, proposant un contenu similaire.

L’alternative serait inexistante en cas d’exclusivité de l’éditeur sur les contenus ou services proposés, ou lorsqu’il n’y a pas ou peu d’alternatives au service.


2. Le caractère raisonnable de l’accès payant

Quant au prix à payer pour accéder au contenu en cas de refus des cookies, cette contrepartie payante (ou “pay wall”) est soumise à l’évaluation du caractère raisonnable du tarif imposé à l’internaute. Le caractère “raisonnable” du tarif, qui n’est pas fixé par la CNIL, doit être justifié par l’éditeur du site.

La CNIL précise par ailleurs qu’en principe, aucun cookie ne doit être déposé en cas d’accès payant, hormis ceux nécessaires au fonctionnement du site et ceux qui pourraient être imposés pour accéder à un contenu ou service tiers (par exemple, vidéo hébergée sur un site tiers ou boutons de partage sur les réseaux sociaux).

L’analyse de l’existence d’alternatives réelles et du caractère raisonnable du tarif de l’accès au site est réalisée au cas par cas.


    La collecte de données personnelles via un cookie wall, impliquant l’acceptation des cookies ou un accès payant au site web, doit en tout état de cause être conforme aux exigences fixées par le RGPD : recueil du consentement de l’internaute, transparence quant aux données collectées et à la finalité (ou aux finalités) du traitement, minimisation des données collectées par le responsable du traitement.

* * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

(2) Conseil d’Etat, décision du 19 juin 2020 sur les lignes directrices relatives aux cookies et autres traceurs

(3) “Cookie walls : la CNIL publie des premiers critères d’évaluation”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2022

Google Ads : confirmation de la condamnation de Google pour abus de position dominante

 

Dans un arrêt du 7 avril 2022, la Cour d’appel de Paris a confirmé la décision rendue par l’Autorité de la concurrence en date du 19 décembre 2019 ayant condamné la société Google à une amende de 150.000 euros pour abus de position dominante sur le marché de la publicité en ligne et enjoint Google de clarifier la rédaction des règles de fonctionnement de Google Ads ainsi que la procédure de suspension des comptes des annonceurs. (1) Nous rappelons ci-après les conditions d’utilisation du service Google Ads, la notion d’abus de position dominante et la situation de Google sur le marché de la publicité en ligne, ayant justifié cette décision.

 

 

Ce qu’il faut retenir :

 

Selon l’Autorité de la concurrence, Google détient une position “ultra-dominante” sur le marché français de la publicité en ligne liée aux recherches.

L’Autorité ne remet pas en cause la liberté de Google de définir des règles limitant ou interdisant l’utilisation de son service Google Ads pour des produits et services licites à des fins de protection des consommateurs. Toutefois, ces règles doivent être définies de manière claire et être appliquées de manière objective, transparente et non-discriminatoire.

1. Les conditions d’utilisation du service Google Ads

Le service Google Ads (dénommé AdWords jusqu’en juillet 2018) est une régie publicitaire proposée par la société Google qui permet aux annonceurs “d’acheter” des mots-clés qui déclencheront l’affichage de leurs annonces publicitaires lorsque les internautes saisiront ces mots-clés. Ces annonces sont identifiées sur Google comme annonces publicitaires, publicités ou annonces sponsorisées. Les annonceurs paient, selon un système d’enchère sur les mots-clés sélectionnés, lorsqu’un utilisateur clique sur l’annonce.

L’utilisation du service Google Ads est soumise aux Conditions générales de publicité de la société Google, complétées par des règles applicables à certaines catégories de produits et de services.

    1.1 Les Conditions générales de publicité de Google

Lorsqu’un annonceur (ou une agence) s’inscrit sur le service Google Ads, il doit accepter les Conditions générales de publicité de Google qui régissent leurs relations contractuelles.

L’article 1, “Programmes” décrit les conditions d’inscription aux différents services publicitaires de Google, dont Google Ads. Cet article stipule notamment que “Google et ses Partenaires peuvent refuser ou retirer une Publicité, Cible ou Destination spécifique à tout moment”.

L’article 3, “Politiques” stipule que “le Client (l’annonceur)est seul responsable de l’utilisation des Programmes. (…) L’Utilisation par le Client des Programmes est soumise aux politiques et règlements de Google (…) et à l’ensemble des autres politiques mises à la disposition du Client par Google (…)”.

    1.2 Les règlements régissant l’utilisation de Google Ads

Les Conditions générales de publicité sont complétées par des règlements (ou règles) qui limitent ou interdisent l’utilisation de Google Ads par les annonceurs.

Ces règles sont organisées en quatre groupes :

1. les contenus interdits (par exemple les annonces pour des produits ou services dangereux, ou pour incitation à un comportement malhonnête) ; 
2. les pratiques interdites (par exemple l’utilisation abusive du réseau publicitaire, ou les annonces comprenant des déclarations trompeuses) ;  
3. les contenus et fonctionnalités soumis à des restrictions (par exemple les annonces pour des contenus à caractère sexuel, alcools, jeux d’argent et de hasard) ; et  
4. les règles d’exigence éditoriales et techniques.
   

Google identifie certains produits et services licites mais “propices à des abus” et présentant un risque déraisonnable pour la sécurité des internautes. Les annonces pour ces produits et services sont donc interdites par Google, afin de protéger les consommateurs et éviter les abus.


2. L’abus de position dominante

L’abus de position dominante est prohibé tant par le droit européen que par le droit français.

L’article L.420-2 al.1 du Code de commerce dispose qu’ “Est prohibée, (…) l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché intérieur ou une partie substantielle de celui-ci. Ces abus peuvent notamment consister en refus de vente (…) ainsi que dans la rupture de relations commerciales établies, au seul motif que le partenaire refuse de se soumettre à des conditions commerciales injustifiées.”

L’existence d’une situation de position dominante n’est pas répréhensible en soi. Toutefois, l’entreprise en situation de position dominante doit être particulièrement attentive au respect de la concurrence et au traitement non discriminatoire de ses clients et utilisateurs. Deux conditions doivent être réunies pour que la position dominante soit considérée comme répréhensible : 1) l’existence d’une position dominante, et 2) son exploitation abusive.

La position dominante s’analyse par rapport au pouvoir détenu par une entreprise sur un “marché pertinent” où agissent plusieurs concurrents. Selon la jurisprudence, l’existence d’une position dominante impose à l’entreprise concernée la responsabilité de ne pas porter atteinte par son comportement à une concurrence effective et non faussée.


3. La situation de Google sur le marché de la publicité en ligne et l’affaire Gibmedia

La société Gibmedia avait saisi l’Autorité de la concurrence courant 2018 pour abus de position dominante de la part de Google sur le marché de la publicité en ligne.

Gibmedia édite plusieurs sites d’informations, dont les sites pages-annuaire.net et annuaire-inverse.net. A la suite de la suspension sans préavis de son compte Google Ads, la société Gibmedia a saisi l’Autorité pour pratiques anticoncurrentielles au motif que la procédure suivie par Google et les raisons de la suspension n’étaient pas objectifs, transparents, et non-discriminatoires.

Gibmedia estime que Google a abusé de sa position dominante sur le marché de la publicité en ligne en adoptant des règles de fonctionnement de sa plateforme Google Ads opaques et difficilement compréhensibles, et en les appliquant de manière inéquitable et aléatoire.

    3.1 La position ultra-dominante de Google

En l’espèce, le marché pertinent consiste en la publicité en ligne liée aux recherches, sur le marché français. Selon l’Autorité de la concurrence, Google détient une position dominante sur ce marché. L’Autorité qualifie même cette situation comme présentant des caractéristiques “extraordinaires”, notamment dans la mesure où son moteur de recherche totalise plus de 90% des recherches effectuées en France et sa part de marché de la publicité en ligne liée aux recherches serait supérieure à 90%.

En outre, selon l’Autorité, la plateforme Google Ads a une nature “biface” : d’un côté, utilisée par 90% des internautes en France ; de l’autre bénéficiant d’une dynamique très forte auprès des annonceurs, aboutissant ainsi à une position ultra-dominante.

Cette position sur le marché de la publicité en ligne impose une responsabilité particulière de Google en matière de respect des règles de concurrence, et particulièrement dans la mise en oeuvre des règles qui régissent l’utilisation de Google Ads.

Même si l’Autorité ne va pas jusqu’à reconnaître un abus de dépendance économique entre les sociétés Google et Gibmedia, elle relève que d’une manière générale, compte tenu de cette situation d’ultra-dominance, “la position des annonceurs à l’égard de l’offre de Google est (…) particulièrement contrainte”.

    3.2 Des règles Google Ads qui manquent de clarté

L’Autorité ne remet pas en cause la liberté de Google de définir des règles limitant l’utilisation de son service Google Ads à des fins de protection des consommateurs. Ces règles doivent être définies de manière claire et appliquées de manière objective, transparente et non-discriminatoire. Cet objectif ne saurait cependant justifier que Google traite de manière différenciée et aléatoire des acteurs dans des situations comparables. Google ne peut pas suspendre le compte d’un annonceur au motif qu’il proposerait des services qu’elle estime contraire aux intérêts du consommateur, tout en acceptant de référencer et d’accompagner sur sa plateforme publicitaire des sites qui vendent des services similaires.

Or, l’Autorité relève que les règles applicables aux annonceurs sont :

• imprécises et confuses dans leur formulation et leur interprétation, 
• sujettes à de nombreuses modifications par Google sans que les annonceurs en soient informés, 
• soumises à des changements de position dans leur interprétation, créant une situation d’instabilité et d’insécurité juridique et économique pour les annonceurs, 
• appliquées de manière discriminatoire : plusieurs sites ont été suspendus alors que d’autres, aux contenus ou services similaires, ne l’étaient pas.
  

L’Autorité a prononcé à l’encontre de Google une sanction de 150 millions d’euros et ordonné à Google de :
    - clarifier la rédaction des Règles de Google Ads,
    - clarifier les procédures de suspension des comptes afin d’éviter que celles-ci ne revêtent un caractère brutal et injustifié,
    - et mettre en place des procédures d’alerte, de prévention, de détection et de traitement des manquements à ses Règles, afin que les mesures de suspension de sites ou de comptes Google Ads soient strictement nécessaires et proportionnées à l’objectif de protection des consommateurs.


    La décision Gibmedia de l’Autorité de la concurrence, confirmée par la Cour d’appel de Paris est dans la droite ligne de la jurisprudence de l’Autorité. (2) Ainsi, dans l’affaire Amadeus, datant de janvier 2019, l’Autorité rappelait déjà que Google est libre de déterminer sa politique de contenus, mais ces règles doivent être suffisamment intelligibles pour les acteurs économiques et s’appliquer dans des conditions objectives, transparentes et non-discriminatoires afin que tous les annonceurs d’un même secteur soient traités sur un pied d’égalité.

Depuis cette dernière décision, Google a clarifié une partie des règles applicables au service Google Ads.


                                                      * * * * * * * * * * *

(1) CA Paris, 7 avril 2022, Google Ireland Ltd c. GibMedia ; Aut. Conc. déc. n°19-D-26, 19 décembre 2019, GibMedia

(2) Voir les décisions Navx - Aut. conc. déc. n°10-MC-01, 30 juin 2010 et Aut. conc. déc. n°10-D-30, 28 octobre 2010, et Amadeus - Aut. conc. déc. n°19-MC-01, 31 janvier 2019


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2022

DSA : Proposition de règlement sur les services numériques pour encadrer les fournisseurs de services en ligne

Le droit européen du numérique est sur le point d’être profondément réformé avec l’adoption dans les semaines à venir du Règlement sur les marchés numériques (Digital Markets Act - DMA) puis du Règlement sur les services numériques (Digital Services Act - DSA), pour une entrée en vigueur qui devrait intervenir début 2023. Un accord sur le texte définitif du DMA a été trouvé à l’issue du trilogue entre des représentants du Parlement, du Conseil et de la Commission le 24 mars. Le DSA est également en cours de discussions finales. (1)

Ces deux textes ayant des objectifs distincts, nous avons présenté le DMA dans un premier article et présentons les principales dispositions du DSA ci-après.

 

Ce qu’il faut retenir

L’objectif du DSA est de réguler les fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin d’améliorer la lutte contre les contenus illicites et la propagation de fausses informations.  

Les règles de responsabilité des “intermédiaires en ligne” ne sont pas profondément modifiées mais sont aménagées pour prendre en compte l’évolution des services numériques et harmoniser la réglementation dans l’Union européenne.

Le DSA prévoit la mise en place de nouvelles procédures de contrôle avec un système de modération des contenus par les plateformes plus transparent, une meilleure identification des vendeurs professionnels par les plateformes, ainsi que des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne

Enfin, de nouvelles autorités de contrôle seraient créées au niveau des Etats-membres et au niveau communautaire (Comité européen des services numériques - CESN).


1. Objectif et champ d’application du DSA

Le champ d’application du DSA est plus étendu que le DMA, puisqu’il concerne un large éventail de fournisseurs de services “intermédiaires” en ligne, alors que le DMA se concentre principalement sur les GAFAM (les “contrôleurs d’accès”). (2)

Depuis plusieurs années, la Commission européenne et les tribunaux nationaux tentent d’imposer aux fournisseurs de services en ligne un meilleur contrôle des contenus et produits illicites diffusés et vendus par leur intermédiaire. Jusqu’à présent, les avancées sont restées très limitées, les fournisseurs de services concernés se retranchant derrière la règlementation en vigueur dans leur propre juridiction ou dans l’Union européenne.

L’objectif du DSA est de réguler les fournisseurs de services numériques, ou fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations et in fine, améliorer la qualité des contenus et la confiance des utilisateurs. Ces nouvelles obligations seront cependant adaptées en fonction de la taille du fournisseur de services concerné.

Les contours de la responsabilité des “intermédiaires en ligne” sont redéfinis afin d’améliorer et d’harmoniser la lutte contre les contenus et les produits contrefaisants et illicites (services et produits contrefaisants, contenus à caractère haineux, pédopornographique, terroriste, fausses informations), accessibles en ligne.

Les fournisseurs de services intermédiaires couverts par le DSA recouvrent plusieurs catégories de prestataires de services complémentaires, depuis :
    - les fournisseurs de services de “simple transport”, tels que les fournisseurs de services internet,
    - les fournisseurs de services de “mise en cache”, consistant à transmettre des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information, dans le but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires, et enfin
    - les fournisseurs de services d’”hébergement” comprenant notamment les services cloud, les plateformes d’applications (app stores), plateformes de partage de contenus et d’intermédiation, places de marché, réseaux sociaux, etc.

Des discussions sont en cours pour inclure les moteurs de recherche dans le champ du DSA.


2. Un ajustement du régime de responsabilité des fournisseurs de services

Actuellement, le régime de responsabilité applicable aux acteurs de l’internet est binaire. Hormis les fournisseurs d’accès à internet et les fournisseurs de services de mise en cache qui ne sont pas en principe responsables des contenus, les sites web tels que les sites de e-commerce ou les sites d’information, sont globalement soumis au régime des éditeurs, responsables du contenu qu’ils mettent en ligne. D’autre part, les hébergeur techniques, qui hébergent des contenus tiers, mis en ligne par les utilisateurs du service sont soumis à un régime de responsabilité atténuée. Non soumis à une obligation générale de surveillance des contenus hébergés, leur responsabilité est limitée au retrait des contenus manifestement illicites, suite à leur notification par un tiers ou imposé par un juge.

Le DSA ne modifie pas fondamentalement ce système de responsabilité, défini par la directive commerce électronique de juin 2000 (3), mais l’aménage afin de prendre en compte l’évolution des services numériques et d’harmoniser la réglementation dans l’Union européenne.

Ainsi, les fournisseurs de services intermédiaires restent soumis à un régime de responsabilité aménagé pour les contenus mis en ligne par leurs utilisateurs. Comme dans la réglementation actuelle, ces services ne sont pas soumis à une obligation générale de surveillance des contenus, ni de recherche active des faits. (Art. 7 et s. DSA) La notification de contenus illicites aux fournisseurs de services d’hébergement devra être suffisamment précise et dûment motivée. La réception de ces notifications par les hébergeurs signifie qu’il prennent connaissance du caractère illicite du contenu notifié et qu’ils doivent alors traiter ces notifications “en temps opportun, de manière diligente et objective”. (art 14 et s.)

Les fournisseurs de services intermédiaires devront désigner un point de contact unique pour permettre une communication directe avec les autorités des Etats-membres, la Commission et le Comité européen des services numériques. Si le fournisseur de services ne dispose pas d’établissement au sein de l’UE, il devra alors nommer un représentant dans l’un des Etats-membres comme point de contact avec les autorités. (art. 10)


3. La mise en place de nouvelles procédures de contrôle

    3.1 Un système de modération des contenus par les plateformes plus transparent

La Commission européenne souhaite établir un contrôle plus strict des règles de modération des contenus par les plateformes pour assurer un traitement non arbitraire et non discriminatoire des contenus supprimés, et plus de transparence sur le fonctionnement des algorithmes utilisés pour identifier et supprimer les contenus illicites et les fausses informations (“infox”).

A cette fin, les plateformes devront publier un rapport annuel “clair, transparent et facilement compréhensible”, détaillant leur activité en matière de modération des contenus. (art. 13) Les micro-entreprises et PME seraient toutefois exemptées de cette obligation.

    3.2 Une meilleure identification des vendeurs professionnels par les plateformes 

Le renforcement de la sécurité des produits et services proposés à la vente passe par l’amélioration de l’identification, et de la traçabilité des vendeurs professionnels par les plateformes.

A cette fin, le DSA prévoit la mise en place d’un système de connaissance du client commercial (professionnel) par les fournisseurs de services, dont les places de marché. Ce système de “KYBC” (Know Your Business Customer), déjà utilisé dans d’autres secteurs de l’économie, consistera pour les fournisseurs de services, à collecter une série d’informations plus étendue concernant les vendeurs professionnels dont leurs coordonnées (nom, adresse, etc.), un extrait Kbis ou équivalent et une déclaration par laquelle le professionnel s’engage à ne fournir que des produits ou services licites et conformes aux règles communautaires.

Ces informations, qui devront être contrôlées par les fournisseurs de services, ont pour objet de responsabiliser les vendeurs professionnels, à renforcer la protection et la confiance des consommateurs, et enfin à faciliter les poursuites judiciaires en cas de vente de produits ou services illicites ou contrefaisants. (art. 22)

    3.3 La création de nouvelles autorités de contrôle

Au niveau national, la mise en oeuvre des obligations imposées par le DSA et le suivi de la conformité des fournisseurs de services seront contrôlés par de nouvelles autorités compétentes, les coordinateurs pour les services numériques, sauf si l’État membre concerné a assigné certaines missions ou certains secteurs spécifiques à d’autres autorités compétentes. (art. 38 s.)

Un Comité européen des services numériques (CESN) est créé avec pour mission d’assurer la surveillance des fournisseurs de services intermédiaires et de conseiller les coordinateurs pour les services numériques et la Commission. (art. 47 s.)


4. Des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne (TGPF)

La définition des très grandes plateformes en ligne diffère de celle des contrôleurs d’accès du DMA. Les très grandes plateformes (“TGPF” ou “VLOP”) sont les plateformes disposant de plus de 45 millions de membres actifs dans l’Union européenne. (art. 25) Ce seuil, représentant 10% de la population de l’UE, sera adapté en fonction de son évolution.

Ces très grandes plateformes seront tenues à une série d’obligations supplémentaires pour prendre en compte les risques systémiques posés par leur taille pour les conséquences notamment, de la dissémination de fausses informations.

Parmi ces obligations, on retiendra notamment l’établissement d’un rapport annuel d’évaluation des risques ainsi que la réalisation d’audits indépendants. (art. 26 et 27)

Le rapport annuel d’évaluation des risques porte sur le fonctionnement et l’utilisation de leurs services au sein de l’UE, y compris la diffusion de contenus illicites par leur intermédiaire, et les effets négatifs pour l’exercice des droits fondamentaux (respect de la vie privée, liberté d’expression et d’information, interdiction de la discrimination, droits de l’enfant).

Des audits indépendants devront être organisés au moins une fois par an pour évaluer le respect de leurs obligations et des engagements pris en vertu de codes de conduite.

Les très grandes plateformes devront également mettre en place de mesures d’atténuation des risques (mitigation), adaptées aux risques systémiques identifiés et seront soumises à une obligation de transparence des systèmes de recommandations (algorithmes).

Enfin, les très grandes plateformes devront désigner un ou plusieurs responsables de la conformité dans l’Union européenne, en charge de contrôler le respect du règlement. (art. 32)

Une liste des très grandes plateformes sera publiée et actualisée afin d’en permettre une identification claire.


5. Des sanctions dissuasives

Deux régimes de sanctions sont prévus par le DSA suivant qu’elles s’appliquent aux fournisseurs de services intermédiaires ou aux très grandes plateformes.

Concernant les fournisseurs de services intermédiaires, le montant maximum des amendes pouvant être imposées par les coordinateurs pour les services numériques ou les tribunaux doit être fixé par chaque Etat-membre, sans pouvoir dépasser 6% des revenus ou du chiffre d’affaires annuel du fournisseur de services en cas de non conformité au DSA, ou 1% des revenus ou du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés. (art. 42)

Concernant les très grandes plateformes, les amendes pourront atteindre jusqu’à 6% du chiffre d’affaires annuel réalisé par la très grande plateforme au cours de l’exercice précédent en cas de non conformité au DSA, ou 1% du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés, en réponse à une demande de la Commission. (art. 59)

6. Les modifications apportées par le Parlement européen

Lors de l’examen du DSA par le Parlement européen, les députés ont introduit quelques modifications au projet de règlement. Celles-ci comprennent notamment:
    - une exemption d’application du DSA par les micro et petites entreprises
   - un renforcement des règles relatives à la publicité ciblée, dont l’interdiction des techniques de ciblage et d’amplification comprenant des données de mineurs pour l’affichage de publicités et l’interdiction du ciblage publicitaire de certains groupes de personnes en fonction de leur orientation sexuelle, un handicap, la race, etc.
  - la possibilité pour les destinataires des services numériques et les organisations représentatives de poursuivre les plateformes qui ne respectent pas les dispositions du DSA.


     Certains principes et procédés figurant dans le DSA rappellent le RGPD, tels que l’obligation de désigner un représentant dans l’Union européenne, de désigner un responsable de la conformité (similaire au DPO en matière de protection des données) pour les très grandes plateformes, la création de coordinateurs pour les services numériques (similaire aux autorités de contrôle du RGPD - tels la CNIL), et du Comité européen des services numériques (CESN - similaire au CEPD du RGPD). On notera également le souhait d certains députés européens de porter le montant maximum des amendes de 6 à 10% du chiffre d’affaires annuel des fournisseurs de services pour être en ligne avec le RGPD.

Le projet de DSA risque de subir quelques dernières modifications avant son adoption définitive.


                                                  * * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques modifiant la directive 2000/31/CE (Digital Services Act - DSA)

(2) Google, Amazon, Facebook (Meta), Apple, Microsoft

(3) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2022

DMA : Proposition de règlement sur les marchés numériques pour encadrer les “contrôleurs d’accès”

La réforme européenne du droit du numérique vient de passer une étape décisive avec le vote, par le Parlement européen, de la proposition de Règlement sur les marchés numériques (Digital Markets Act - DMA) le 15 décembre 2021, suivi du vote de la proposition de Règlement sur les services numériques (Digital Services Act - DSA) le 20 janvier 2022. Ces deux projets de règlements passent maintenant par l’étape d’un trilogue entre des représentants du Parlement, du Conseil et de la Commission afin de parvenir à un accord sur le texte définitif, pour une entrée en application probablement début 2023. (1) 

L’objectif de cette réforme d’envergure est double : réguler le fonctionnement des marchés numériques, et plus particulièrement, le rôle des “contrôleurs d’accès” (ou “gatekeepers”), dont les GAFAM, qui jouent un rôle dominant sur le marché, et réguler les services numériques, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations.

Dans ce premier article, nous nous concentrons sur le DMA. Un second article suivra afin de présenter le DSA, ces deux textes ayant des objectifs distincts.

Ce qu’il faut retenir

Le DMA a pour objectif de réguler le comportement des grandes plateformes numériques, y compris les services de plateforme essentiels, qui agissent en tant que “contrôleurs d’accès” (ou “gatekeepers”) sur les marchés, notamment les GAFAM. Les services concernés comprennent, entre autres, les systèmes d’exploitation, les services de publicité en ligne, les moteurs de recherche, les réseaux sociaux, etc.

Les contrôleurs d’accès seront soumis à un certain nombre d’obligations dans le but d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

1. Le DMA - ou la régulation des contrôleurs d’accès

Selon l’exposé des motifs du DMA, “Certaines grandes plateformes jouent de plus en plus le rôle de points d’accès ou de contrôleurs d’accès entre les entreprises utilisatrices et les utilisateurs finaux et jouissent d’une position solide et durable, qui résulte souvent de la création d’écosystèmes de conglomérat organisés autour de leurs services de plateforme essentiels, renforçant ainsi les barrières à l’entrée existantes.”

Ainsi, le DMA a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés. Alors qu’il existerait plus de 10.000 plateformes actives sur le marché communautaire, seul un petit nombre d’entre elles captent la plus grande part de la valeur générée.

Suivant le constat des régulateurs, ces plateformes ont atteint une taille telle qu’elles ont rendu les utilisateurs - consommateurs et entreprises, dépendants de leurs services. Elles se positionnent ainsi en tant que régulateurs privés pouvant imposer des conditions inéquitables aux entreprises et aux consommateurs (services captifs, blocage de l’accès aux données générées en ligne par les entreprises, etc.) et imposent des barrières à l’entrée à leurs concurrents potentiels, qui ne peuvent avoir accès au marché. En effet, les contrôleurs d’accès, par leur taille, ont acquis une situation dominante, présentant des risques pour les droits des utilisateurs, personnes physiques et morales.


2. Plateformes essentielles et contrôleurs d’accès

Le DMA vise plus particulièrement les services de plateforme essentiels (les contrôleurs d’accès ou certains services qu’ils proposent). Ces services de plateforme essentiels recouvrent les services suivants :

• l’intermédiation en ligne (y compris les places de marchés - Amazon, App Store, Google Play), 
• les moteurs de recherche (Google),
• les réseaux sociaux (Facebook, Instagram),  
• les plateformes de partage de vidéos (Youtube),
• les services de communication électronique,
• les systèmes d’exploitation (Android, iOS),  
• les services en nuage (AWS, iCloud, Google Cloud) et  
• les services de publicité en ligne (Google Ads).
  

Pour être qualifié de contrôleur d’accès, un service de plateforme essentiel doit remplir plusieurs critères quantitatifs (art. 3 DMA), à savoir :

1. avoir une forte incidence sur le marché numérique européen, c’est-à-dire réaliser un chiffre d’affaires annuel dans l’UE égal ou supérieur à 6,5 milliards d’euros au cours des trois derniers exercices ou avoir une capitalisation boursière moyenne, ou atteindre une juste valeur marchande équivalente de l’entreprise à laquelle il appartient, au moins égale à 65 milliards d’euros au cours du dernier exercice, et fournir un service de plateforme essentiel dans au moins trois Etats membres ; 
2. exploiter un ou plusieurs points d’accès majeur des entreprises pour développer leurs activités commerciales en ligne, c’est-à-dire avoir enregistré plus de 45 millions d’utilisateurs actifs par mois dans l’UE et plus de 10.000 entreprises utilisatrices actives dans l’UE au cours du dernier exercice ; 
3. occuper une position solide et durable sur le marché, c’est-à-dire avoir atteint le nombre d’utilisateurs finaux mentionné ci-dessus pendant les trois derniers exercices.
   

Les contrôleurs d’accès doivent informer la Commission de leur situation dans un délai de trois mois et fournir les informations visées ci-dessus. Ils pourront également démontrer à la Commission qu’ils ne remplissent pas ces critères. Enfin, la Commission pourra désigner comme contrôleur d’accès des services de plateforme essentiels qui satisfont aux exigences qualitatives ci-dessus, mais qui ne remplissent pas les critères quantitatifs.


3. Les obligations des contrôleurs d’accès

Les contrôleurs d’accès sont soumis à un certain nombre d’obligations, l’objectif étant d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

Parmi ces obligations, les contrôleurs d’accès doivent (art. 5 DMA) : 

• s’abstenir de combiner les données personnelles issues de leurs services avec les données issues des autres services proposés par le contrôleur d’accès ou par des services tiers ; 
• permettre aux entreprises utilisatrices de proposer les mêmes produits ou services aux utilisateurs finaux via des services d’intermédiation en ligne tiers à des prix ou des conditions différents de ceux proposés par le contrôleur d’accès ; 
• permettre aux entreprises utilisatrices de promouvoir leurs offres auprès des utilisateurs finaux acquis grâce au service de plateforme essentiel et de conclure des contrats avec ces utilisateurs finaux ; 
• s’interdire d’exiger des entreprises utilisatrices ou des utilisateurs finaux qu’ils s’abonnent ou s’enregistrent à un autre service de plateforme essentiel comme condition d’accès, d’inscription ou d’enregistrement à l’un de ses services de plateforme essentiel ; 
• faire réaliser un audit, par un auditeur indépendant, sur les techniques de profilage des consommateurs utilisées, les résultats devant être soumis à la Commission. (art. 13 DMA)
  

Par ailleurs, le DMA interdira certaines pratiques manifestement déloyales, telles que l’interdiction pour les utilisateurs de désinstaller des logiciels ou applications pré-installés. Le règlement imposera également l’interopérabilité entre les services proposés sur ces plateformes et les logiciels tiers.

La Commission européenne aura la possibilité de mener des enquêtes de marché ciblées pour déterminer s’il y a lieu de faire évoluer la règlementation sur les contrôleurs d’accès pour suivre l’évolution des marchés numériques. (art. 18 et s. DMA)

 

4. Des sanctions dissuasives en cas de violation du DMA

Les sanctions pouvant être imposées par la Commission européenne et par les tribunaux nationaux se veulent être à la hauteur des enjeux et de la taille des acteurs concernés.

En cas de violation des dispositions du DMA, les amendes pourront atteindre 10% du chiffre d’affaires réalisé au cours de l’exercice précédent par le contrôleur d’accès. Pour fixer le montant de l’amende, la Commission prendra en considération la gravité, la durée et la récurrence des manquements aux obligations du DMA. (art. 26 DMA)


A l’issue de l’examen du DMA par le Parlement, les députés européens souhaitent améliorer les critères de qualification des contrôleurs d’accès. Les députés ont par ailleurs inclus les navigateurs web, les assistants virtuels et les télévisions connectées dans le champ du DMA et ajouté la possibilité de désinstaller des applications préinstallées. Les seuils quantitatifs permettant de désigner les contrôleurs d’accès ont également été relevés à 8 milliards d’euros de chiffre d’affaires annuel ou 80 milliards d’euros de capitalisation boursière et le montant des amendes a été doublé, de 10 à 20% du chiffre d’affaires.

Ces dernières années, avec la montée en puissance des GAFAM, les juridictions des Etats membres et la Commission en Europe d’une part, les juridictions américaines d’autre part, ont tenté de lutter contre des pratiques jugées abusives de la part des sociétés, qualifiées de “contrôleurs d’accès” - sans grand succès. L’objectif du DMA est donc, par l’imposition de règles homogènes dans l’Union européenne, de lutter contre les avantages permettant à ces très grands groupes de conserver leur position dominante, favorisant notamment leurs produits et services par rapport aux entreprises utilisatrices ou exploiter les données générées par ces entreprises à leur propre avantage et, in fine permettre plus de compétitivité et de diversité, en donnant accès au marché à des acteurs de taille plus modeste.

                                                      * * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur du numérique (Digital Markets Act - DMA)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2022

Transferts de données à l’international - la République de Corée reconnue comme offrant un niveau de protection adéquat

La République de Corée vient d’entrer dans le club des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux traitements de données à caractère personnel. Il s’agit du 14é pays ou territoire extérieur à l’Union européenne à bénéficier de ce statut particulier en matière de flux transfrontières de données personnelles.

Le 17 décembre 2021, la Commission européenne a publié sa décision d’adéquation concernant la République de Corée. (1) Cette décision permet désormais aux organismes situés dans l’UE de transférer des données personnelles vers des destinataires et sous-traitants situés en Corée du Sud, sans formalités particulières. (2)

Les décisions d’adéquation sont accordées par la Commission européenne en application de l’article 45 du Règlement général pour la protection des données (RGPD). Elles font suite à une analyse approfondie de la réglementation du pays tiers sur la protection des données pour évaluer son niveau d’équivalence avec la réglementation européenne. La procédure d’examen préalable peut prendre plusieurs mois, voire plusieurs années, et impliquer des demandes d’adaptation de la réglementation du pays tiers. Toutefois, la décision d’adéquation ne signifie pas que les règles du pays tiers doivent être identiques au RGPD, mais uniquement qu’elles offrent un niveau d’équivalence essentielle.

En l’espèce, des discussions étaient en cours avec la Corée depuis octobre 2018 avec une première visite de députés européens à Séoul. La procédure menant à la décision d’adéquation s’est poursuivie et des pourparlers avaient été signés entre la Commission et l’autorité de contrôle coréenne (Personal Information Protection Commission - PIPC), en mars 2021.

La Corée a dû modifier sa législation sur la protection des données, notamment pour mettre en place une autorité de contrôle indépendante, des procédures plus transparentes, et la possibilité pour les résidents européens d’avoir accès à un mécanisme de correction en cas de traitement de données illicite ou non-conforme, y compris la possibilité de porter plainte auprès de l’autorité de contrôle coréenne, l’équivalent de la CNIL.

La décision d’adéquation de la République de Corée sera réexaminée par la Commission dans trois ans, puis selon une périodicité maximum de quatre ans, afin de s’assurer que la réglementation coréenne répond toujours aux critères d’adéquation au droit européen de la protection des données personnelles. Au cas où la Corée s’éloignerait de ces critères, la décision d’adéquation pourra être retirée lors de son réexamen.

A noter que les responsables de traitement et sous-traitants coréens qui étaient déjà soumis au RGPD en application de l’article 3.2 (traitements liés à l'offre de biens ou de services à des personnes concernées situées dans l’UE, ou au suivi de leur comportement) ne verront pas leurs obligations modifiées par la décision d’adéquation.

   Après Israël, puis le Japon en janvier 2019, la Corée est le troisième pays d’Asie à obtenir une décision d’adéquation, sachant que la plupart des pays d’Asie de l’Est et du Sud-Est ont adopté ou récemment révisé leurs réglementations en matière de protection des données personnelles, se rapprochant ainsi des standards internationaux de la protection des données.

* * * * * * * * * * *

(1) Commission implementing decision of 17 December 2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the Republic of Korea under the Personal Information Protection Act

(2) Cette décision d’adéquation s’applique à l’Espace économique européen (EEE), qui compte, en sus des pays membres de l’UE, l’Islande, le Liechtenstein et la Norvège.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2022

Protection juridique du logiciel : condamnation pour contrefaçon des codes sources

 

Le logiciel est considéré comme une oeuvre de l’esprit, et à ce titre est protégé par le droit de la propriété intellectuelle. (1)

Une société, son fondateur et des salariés, reconnus coupables de contrefaçon des codes sources d’un logiciel appartenant à un concurrent, viennent d’être condamnés au versement de près de trois millions d’euros de dommages et intérêts au titulaire des droits. (2)

L’intérêt de ce jugement repose d’une part sur les éléments permettant de qualifier le caractère original du logiciel, pour déterminer s’il pouvait bénéficier de la protection par le droit d’auteur, auquel cas, la copie non autorisée des codes sources relève de la contrefaçon ; d’autre part, sur les éléments retenus pour l’évaluation du préjudice subi et la détermination par les juges de l’indemnisation du titulaire.

1. Les faits

La société Generix, est titulaire des droits sur le logiciel applicatif GCS WMS, utilisé pour la gestion des entrepôts, notamment pour la grande distribution. Ce logiciel avait été développé par Infolog Solutions, société absorbée par Generix en 2010. Le logiciel GCS WMS a été développé à partir d’un programme générateur de codes sources dénommé APX, mis au point par Generix et non commercialisé.

En 2011, le responsable support de la société Infolog Solutions a quitté cette société pour créer la société ACSEP, ayant pour activité la fourniture de prestations similaires à celles de Generix. D’anciens salariés d’Infolog Solutions et de Generix ont par ailleurs rejoint la société ACSEP.

Entre 2014 et 2016, plusieurs clients de la société Generix ont résilié leurs contrats pour les transférer chez ACSEP. En outre, Generix a appris que la société ACSEP était en possession des codes source du logiciel GCS WMS. Par deux ordonnances sur requête du 5 février et du 24 mars 2015, à la demande de la société Generix, le président du tribunal de grande instance d’Aix-en-Provence a autorisé un huissier à se rendre dans les locaux d’ACSEP, afin de constater notamment qu’ACSEP détenait les codes source du logiciel GCS WMS.

Le 2 mars 2016, la société Generix a fait assigner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions. Generix demandait au tribunal de condamner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions à lui payer 4.000.000€ au titre du préjudice matériel lié à la détention et l’utilisation non autorisées des codes sources du logiciel, 300.000€ au titre de la réparation du préjudice moral subi suite à la contrefaçon du logiciel, 50.000€ au titre du préjudice économique résultant des actes de concurrence déloyale et parasitaire du fait de l’utilisation de sa marque Infolog, de sa dénomination sociale et de sa marque Generix et de ses supports et plans de formations.

Le tribunal judiciaire de Marseille a rendu sa décision le 23 septembre 2021 et a condamné la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions au paiement de près de 3.000.000€ pour contrefaçon de codes sources du logiciel GCS WMS.


2. La protection du logiciel par le droit d’auteur

    2.1 Protection du logiciel et droit d’exploitation 

Dans cette affaire, le tribunal rappelle que le logiciel, comprenant le code source et le code objet, ainsi que le matériel de conception préparatoire, est protégé par le droit d’auteur en application de l’article L.112-2 13° du code de la propriété intellectuelle (CPI). A ce titre, “le droit d’exploitation appartenant à l’auteur d’un logiciel comprend le droit d’effectuer et d’autoriser 1° la reproduction permanente ou provisoire d’un logiciel en tout ou partie par tout moyen et sous toute forme. (…) ces actes ne sont possibles qu’avec l’autorisation de l’auteur.” (art. L.122-6 CPI)

La société Generix, devenue titulaire des droits sur le logiciel après avoir absorbé la société Infolog Solutions, avait déposé deux versions du logiciel auprès de l’Agence pour la protection des programmes (APP) en 2006 et 2010.

    2.2 L’originalité du logiciel, condition de sa protection par le droit d’auteur

Toutefois, comme pour toute oeuvre de l’esprit, cette protection du logiciel par le droit d’auteur n’est accordée que pour autant que celui-ci soit reconnu original.

A cette fin, le tribunal rappelle les principales caractéristiques du logiciel GCS WMS qui avaient été mises en avant par Generix pour démontrer son originalité, à savoir : 1) des choix personnels quant à la structure du “scénario radio”, 2) un choix propre quant aux réservations de stocks, 3) le choix d’une forte interopérabilité du logiciel par l’utilisation d’un format d’échanges de données unique et original, 4) l’utilisation du langage de développement Cobol afin de permettre la portabilité du logiciel sur un grand nombre de machines, 5) le développement d’un atelier de génie logiciel en interne, 6) un choix technique personnel quant aux interfaces homme/machine, et 7) le choix d’une mise en oeuvre simplifiée du logiciel, ne nécessitant pas de compétences techniques ou informatiques et pouvant être réalisées par un consultant.

Sur la base de tous ces éléments, le tribunal a pu reconnaître l’originalité du logiciel alors même que celui-ci avait été développé grâce à un programme générateur de codes sources. La société Generix était donc bien fondée pour défendre ses droits sur le logiciel.


3. Les faits de contrefaçon et l’évaluation du préjudice

    3.1 L’établissement des faits de contrefaçon

Dans cette affaire, la contrefaçon a été démontrée sur la base de deux éléments : a) la production d’emails échangés entre les salariés de la société ACSEP, relatifs à la demande et à la communication des codes sources de programmes constitutifs du logiciel GCS WMS. On notera sur ce point que le tribunal n’a pas remis en cause l’intégrité de ces emails, obtenus par voie d’huissier ; et b) un rapport d’analyse technique démontrant que les logiciels détenus par la société ACSEP étaient identiques, à 2% près, aux programmes déposés par Generix à l’APP.

Or, il n’existait aucun accord entre les sociétés Generix et ACSEP, autorisant cette dernière à reproduire ou à utiliser tout ou partie du logiciel.

Le tribunal en conclut que ces simples faits de reproduction non autorisée des codes sources de programmes constitutifs du logiciel GCS WMS constituent des actes de contrefaçon de la part de la société ACSEP, son dirigeant et les salariés poursuivis.

    3.2 L’évaluation du préjudice et les mesures de réparation

Les règles permettant de déterminer le montant des dommages et intérêts sont définies aux articles L.331-1-3 et s. du CPI. Pour ce faire, les juges prennent en compte :
“1° Les conséquences économiques négatives de l’atteinte aux droits, dont le manque à gagner et la perte subis par la partie lésée ;
2° Le préjudice moral causé à cette dernière ;
3° Et les bénéfices réalisés par l’auteur de l’atteinte aux droits, y compris les économies d’investissements intellectuels, matériels et promotionnels que celui-ci a retirées de l’atteinte aux droits.”

En l’espèce, le tribunal a évalué le préjudice subi par la société Generix en retenant i) une perte de chiffre d’affaires à la suite de la résiliation de plusieurs contrats commerciaux, évaluée à 2 millions d’euros, ii) le remboursement du montant représentant la valorisation de la recherche et développement du logiciel pour 814.000€, la contrefaçon ayant permis d’économiser les coûts de création et de développement d’un logiciel équivalent, et iii) le préjudice moral, constitué par la dévalorisation du savoir-faire de Generix, pour un montant de 50.000€.

La société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions ont été condamnés en sus à cesser l’utilisation et à la désinstallation du logiciel, et à indemniser Generix pour concurrence déloyale à hauteur de 30.000€ pour débauchage de plusieurs salariés de Generix.


       Cette affaire démontre que la contrefaçon de logiciel, notamment par d’anciens salariés, accompagnée d’actions de concurrence déloyale par détournement de clientèle et débauchage de salariés peut coûter cher à leurs auteurs. Le titulaire des droits doit cependant être en mesure de démontrer le caractère original de l’oeuvre contrefaite et de rapporter la preuve du détournement, ainsi que du préjudice subi (perte de clientèle, vol de savoir-faire, débauchage massif, etc.). Toutefois, la réparation du préjudice est un processus long et coûteux, le dossier contentieux ayant débuté en 2015…

* * * * * * * * * * *

(1) Art. L.112-2 CPI

(2) TJ Marseille, 23 septembre 2021, Generix c. Acsep et autres

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2021

La fusion entre le CSA et la Hadopi donne naissance à l’Arcom

Selon la Hadopi, la hausse de la consommation de biens culturels dématérialisés s’est accélérée en 2020. Cette accélération a été favorisée par la crise sanitaire et la période de confinement qui ont entraîné la fermeture des lieux culturels (cinémas, théâtres, salles de spectacles). Constat positif mais également négatif puisqu’un quart des internautes français visiterait chaque mois des sites illicites de biens culturels. (1) Face à ce constat, le bilan de la Hadopi relatif à la lutte contre le piratage en ligne des oeuvres audiovisuelles est plus que mitigé, mais reflète cependant les limites de son champ d’action.

Une réforme était donc nécessaire pour tenter de lutter plus efficacement, et plus rapidement, contre les usages illicites sur internet. Celle-ci passe par la réforme, plus large, de l’audiovisuel qui se met enfin en place avec l’adoption, le 25 octobre 2021, de la loi relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique. (2) Cette réforme, annoncée depuis deux ans, consacre la création de l’Autorité de régulation de la communication audiovisuelle et numérique - Arcom, une nouvelle autorité administrative, née de la fusion du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des oeuvres et la protection des droits sur internet (Hadopi). L’Arcom entrera en activité au 1er janvier 2022.

Cette nouvelle autorité interviendra sur un champ de compétences élargi, avec des agents disposant de pouvoirs d’investigation pour des actions de lutte, on l’espère, plus efficaces contre les sites illicites.


1. Un champ des compétences élargi

L’Arcom disposera d’un champ de compétences élargi par rapport aux missions combinées du CSA et de la Hadopi, consacrant enfin la convergence des technologies de communication avec l’interaction grandissante entre l’audiovisuel traditionnel et internet.

En effet, les compétences attribuées à l’Arcom couvrent les domaines allant de la création des oeuvres jusqu’à la protection du droit d’auteur. Les activités de l’Arcom s’articuleront ainsi autour de plusieurs axes, avec notamment un premier axe sur la lutte contre le piratage des oeuvres protégées, un deuxième axe sur une mission pédagogique et de régulation, et un troisième axe de régulation du secteur audiovisuel.

    1.1 La focalisation sur la lutte contre le piratage des oeuvres protégées

Le premier axe, concernant principalement la communication en ligne portera sur les actions suivantes (3) :

    - La lutte contre le piratage des oeuvres protégées par le droit d’auteur, un droit voisin ou un droit d’exploitation audiovisuelle. L’Arcom pourra ainsi créer une “liste noire” des sites exploitant, de façon massive, des contenus contrefaisant ;

    - La lutte contre les sites sportifs illicites. Considérant que l’accès aux chaînes de sports est généralement trop cher, nombre d’internautes choisissent de visionner les événements sportifs en ligne, sur des sites de streaming sportif illicites. Cette pratique a des conséquences économiques et financières très lourdes pour les diffuseurs et les clubs sportifs. Or, jusqu’ici il était très difficile pour les titulaires des droits de diffusion de lutter contre ces sites, notamment du fait des délais de procédure pour obtenir une décision de blocage. La loi d’octobre 2021 tente de remédier à ce problème en créant une procédure spécifique de référé pouvant être intentée par les titulaires de droits de diffusion d’événements sportifs contre les sites illicites et les sites miroirs ;

    - La lutte contre la désinformation sur internet (lutte contre les “fake news” en application de la loi du 22 décembre 2018) (4) et contre les contenus haineux ;

    - La régulation des plateformes de vidéo par abonnement (SVoD).

    1.2 Une mission pédagogique

A l’instar des actions menées par la CNIL depuis plusieurs années, la loi du 25 octobre 2021 inscrit, parmi les missions de l’Arcom, des actions pédagogiques et de régulation par la création de “soft law”, comprenant :

    - Des actions de sensibilisation et de prévention, notamment auprès des jeunes. Concernant la protection des mineurs, ces actions de prévention concernent non seulement les contenus piratés, mais également les contenus illicites, violents, haineux, ou pornographiques ;

    - Une mission d’encouragement au développement de l’offre légale ;

    - Une mission de régulation et de veille relative aux mesures techniques de protection et d’identification des oeuvres et objets protégés par le droit d’auteur, avec la publication de recommandations, guides de bonne pratiques, modèles de clauses types et codes de conduite. Ces outils auront pour objet d’informer et de former le public.

    - L’Arcom pourra en outre favoriser la signature d’accords volontaires avec les professionnels pour les inciter à mettre en oeuvre des politiques de lutte contre le contrefaçon et le piratage plus efficaces.

    1.3 La régulation du secteur audiovisuel

Enfin, l’Arcom sera en charge de la régulation du secteur audiovisuel. Cette mission de régulation, héritée du CSA, comprend notamment la gestion des fréquences, les conditions de création de nouvelles chaînes de radio et de télévision et le suivi de leurs engagements, la garantie du respect de la liberté d’expression et des droits et libertés fondamentaux sur les chaînes de radio et de télévision, etc.

L’Arcom sera également en charge de garantir le pluralisme de l’offre dans le secteur audiovisuel et des sources d’information. Ce domaine est d’autant plus d’actualité avec, par exemple, le projet de fusion annoncé en mai 2021 entre les groupes TF1 et M6.


2. Des agents publics disposant de réels pouvoirs d’investigation

La direction de l’Arcom sera constituée de 9 membres, dont huit membres choisis en raison de leurs compétences économiques, juridiques ou techniques, nommés par décret, et le président de l’Autorité nommé par le Président de la République. Les membres sont nommés pour un mandat de 6 ans, non renouvelable. L’équilibre hommes/femmes doit être respecté au moment de leur nomination.

L’Arcom disposera par ailleurs d’un “bataillon” d’agents publics assermentés, habilités par décret. Dans le cadre de leurs investigations, les agents de l’Arcom pourront notamment :

    - recevoir des opérateurs de communications électroniques les coordonnées (identité, adresse postale, email, numéro de téléphone) des personnes dont l’accès aux services a été utilisé pour diffuser des oeuvres non autorisées ;

    - mais également constater les faits susceptibles de constituer les infractions lorsqu’ils sont commis en ligne, et “sans en être tenus pénalement responsables :
1° Participer sous un pseudonyme à des échanges électroniques susceptibles de se rapporter à ces infractions ;
2° Reproduire des œuvres ou des objets protégés sur les services de communication au public en ligne ;
3° Extraire, acquérir ou conserver par ce moyen des éléments de preuve sur ces services aux fins de la caractérisation des faits susceptibles de constituer des infractions ;
4° Acquérir et étudier les matériels et les logiciels propres à faciliter la commission d'actes de contrefaçon.” (5)
Toutefois, ces actes ne pourront inciter autrui à commettre une infraction. Les informations recueillies font l’objet d’un procès-verbal pouvant ensuite être utilisé en cas de poursuites judiciaires.


3. Des pouvoirs plus efficaces ?

Regroupant les domaines de la communication audiovisuelle et par internet, l’Arcom devrait pouvoir intervenir sur un champ de compétences élargi. En effet, la convergence des technologies de l’audiovisuel et de l’internet entraîne la disparition de la frontière entre ces deux domaines.

La division des compétences sur des agences séparées n’avait plus de sens. D’une part, le champ d’action de la Hadopi se limitait au téléchargement illicite d’oeuvres en peer-to-peer. Or, cette pratique ne concernerait plus que 25% de la consommation illicite de biens audiovisuels. Depuis plusieurs années la technologie et les pratiques des internautes ont en effet évolué pour accéder aux oeuvres en streaming ou via des sites ou serveurs temporaires ou miroirs. D’autre part, grâce à la technologie de diffusion des oeuvres audiovisuelles en ligne, le rôle du CSA s’est naturellement élargi au domaine de l’internet, avec la multiplication des web radio et web TV, la télévision connectée, les services audiovisuels à la demande (SMAD / SVoD), …

La création de l’Arcom consacre donc la fin d’une frontière devenue artificielle entre les différents modes de diffusion des oeuvres audiovisuelles. L’Arcom a ainsi pour objectif d’améliorer l’efficacité de la lutte contre les différentes formes de piratage audiovisuel : téléchargement en P-to-P, streaming, IPTV, lutte contre les sites sportifs illicites.


    L’Arcom a pour ambition de se positionner comme le moteur d’un nouveau modèle de régulation audiovisuelle, “à l’écoute des publics et de leurs préoccupations, (…) résolument engagée dans la défense des libertés d’expression, d’information et de création.” (6) Cette nouvelle autorité devra toutefois surmonter plusieurs défis : intégrer des personnels venant de deux mondes jusqu’ici distincts, le monde de l’audiovisuel, et le monde d’internet, et démontrer l’efficacité de ses actions, particulièrement dans la lutte contre le piratage.

* * * * * * * * * * *

(1) Etude Hadopi du 6 mai 2021 “12,7 millions d’internautes ont visité en moyenne chaque mois des sites illicites de biens culturels dématérialisés en 2020, soit 24 % des internautes français”

(2) Loi n°2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique, modifiant le code de la propriété intellectuelle et la loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication.

(3) Art. L.331-12 et s. du Code de la propriété intellectuelle

(4) Loi n°2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information

(5) Art. L.331-14 du Code de la propriété intellectuelle

(6) Communiqué de presse conjoint du CSA et de la Hadopi sur la création de l’Arcom, 26 octobre 2021

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2021