La jurisprudence est décidément intéressante en ce moment ; après 3 arrêts importants la semaine dernière, deux autres arrêts de la CJUE sur le droit des nouvelles technologies sont publiés cette semaine. Le premier concerne les règles de compétence des juridictions nationales s’agissant des délits de contrefaçon – qui, on le sait, sont nombreux dans le monde virtuel –, le second porte sur la transposition en droit espagnol de la directive de 1995 sur la protection des données personnelles.
En présence d’un délit complexe, qui peut être rattaché à plusieurs pays, il est nécessaire de déterminer la juridiction compétente pour réparer le préjudice subi par la victime. Le réglement européen 44/2001 fixe les règles gouvernant la compétence internationale des tribunaux des États membres. La règle de principe se situe à l’article 2 : le défendeur doit être assigné devant le tribunal du lieu où il réside habituellement. Le réglement prévoit cependant certaines exceptions. Nous parlions la semaine dernière de l’exception des délits complexes et, cette semaine, nous parlerons de l’exception visant à garantir la «bonne administration de la justice».
L’article 6 du réglement permet ainsi d’attraire une personne en justice, »s’il y a plusieurs défendeurs, devant le tribunal du domicile de l’un d’eux, à condition que les demandes soient liées entre elles apr un rapport si étroit qu’il y a intérêt à les instruire et à les juger en même temps afin d’éviter des solutions qui pourraient être inconciliables si les causes étaient jugées séparément».
En l’espèce, une photographe fait grief à des sociétés de presse d’avoir utilisé ses photographies en violation de ses droits de propriété intellectuelle. L’un de ces société a son siège social à Vienne, tandis que les autres ont leur siège social en Allemagne. Or, si les faits sont les mêmes dans tous les cas, le droit change. Il est donc demandé à la CJUE de dire si «le fait que des demandes introduites à l’encontre de plusieurs défendeurs, en raison d’atteintes au droit d’auteur matériellement identiques, reposent sur des bases juridiques nationales qui diffèrent selon les États membres s’oppose à l’application de [l’article 6]».
La Cour répond, en substance, que la règle de l’article 6 de nécessite pas d’identité des fondements juridiques, mais que devant être appréciée strictement (puisqu’il s’agit d’une exception), elle ne peut être appliquée «de telle sorte qu’elle permette au requérant de former une demande dirigée contre plusieurs défendeurs à la seule fin de soustraire d’un de ces défendeurs aux tribunaux de l’État où il est domicilié». Le tribunal devra évaluer, au cas d’espèce, les interntions du demandeur et «d’apprécier l’existence d’un risque de décisions inconciliables si les demandes étaient jugées séparément».
Une directive européenne de 1995 définit le cadre global du traitement des données personnelles au sein de l’UE. L’article 7 de cette directive ne permet le traitement des données que si la personne concernées à donnée son consentement ou, en l’absence d’un tel consentement, si le traitement des données est «nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée».
Cette directive est transposée dans le droit espagnol, qui rajoute une condition supplémentaire pour la mise en oeuvre de l’exception de l’article 7 : en l’absence de consentement de la personne concernée, outre l’impératif de réalisation d’un but légitime, les données doivent provenir d’une source publique. Les sources publiques qui permettent de faire jouer l’exception sont énumérées dans la loi.
Il est donc reproché à la législation espagnole de durcir les conditions posées par la directive européenne et, de ce fait, de restreindre la liberté de circulation des données. D’un autre côté, le législateur communautaire a choisi de légiférer par directive, et non par réglement ; c’est donc qu’il entendait laisser un marge importante d’appréciation aux États membres. La Cour rappelle d’ailleurs au motif n°29 que «l’harmonisation desdites législations nationales ne se limite pas à une harmonisation minimale, mais aboutit à une harmonisation qui est, en principe, complète». En somme, l’ajout de conditions supplémentaires est en accord avec l’objectif de protéger les droits des citoyens européens, mais il va à l’encontre de l’objectif d’harmonisation des législations nationales.
La Cour relève que «l’article 7 de la directive 95/46 prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite.» (motif n°30) et en conclut que «les États membres ne sauraient ni ajouter de nouveaux principes relatifs à la légitimation des traitements de données à caractère personnel à l’article 7 de la directive 95/46 ni prévoir des exigences supplémentaires qui viendraient modifier la portée de l’un des six principes prévus à cet article.» (motif n°32).
La Cour distingue encore deux types de règles : «La directive 95/46 comporte des règles caractérisées par une certaine souplesse et laisse dans de nombreux cas aux États membres le soin d’arrêter les détails ou de choisir parmi des options [citation omise]. Il importe ainsi de faire la distinction entre des mesures nationales qui prévoient des exigences supplémentaires modifiant la portée d’un principe visé à l’article 7 de la directive 95/46, d’une part, et des mesures nationales qui prévoient une simple précision de l’un de ces principes, d’autre part. Le premier type de mesure nationale est interdit. Ce n’est que dans le cadre du second type de mesure nationale que, en vertu de l’article 5 de la directive 95/46, les États membres disposent d’une marge d’appréciation.» (motif n°35).
La loi espagnole, qui rajoute une condition à celles prévues par la directive, est donc contraire au droit communautaire.
En outre, la Cour rappelle que «dans tous les cas où les dispositions d’une directive apparaissent, du point de vue de leur contenu, inconditionnelles et suffisamment précises, les particuliers sont fondés à les invoquer devant les juridictions nationales à l’encontre de l’État, soit lorsque celui-ci s’est abstenu de transposer dans les délais la directive en droit national, soit lorsqu’il en a fait une transposition incorrecte» (motif n°51). Or, en l’espèce, l’article 7 de la directive est suffisamment précis pour être doté d’effet direct. La loi espagnole transposant de manière incorrecte la directive, les justifiables sont fondés à demander aux juridictions espagnoles l’application directe de l’article 7, en lieu et place de la loi espagnole.
• 1088 mots • #propriété intellectuelle #données personnelles #international #jurisprudence #Europe #compétenceL’actualité du droit des nouvelles technologie est, cette semaine, très intéressante. Il y aurait beaucoup à dire, mais nous nous limiterons volontairement à trois décisions de justice particulièrement importantes. La première est une décision du TGI de Paris relative à la responsabilité des intermédiaires, prise à la suite de la décision de la CUJE dans l’affaire Google «Ad Words», la deuxième est une décision de la CJUE dans le domaine des conflits de juridictions ; enfin, la troisième est une décision de la CJUE relative au filtrage du Net.
Dans une décision du 17 nombre 2011, le TGI de Paris a refusé à Google le bénéfice du régime spécial de responsabilité des intermédiaires techniques.
Pour comprendre cette décision, il faut d’abord savoir ce qu’est Google Ad Words. Google la société éditrice du célèbre moteur de recherche éponyme. Elle fournit, outre ce moteur de recherche, d’autres services aux Internautes. Parmi ces services, «Ad Words» permet à des annonceurs d’acheter des mots-clés et de définir une ou plusieurs annonces publicitaires afin que celles-ci soient affichées lorsqu’un internaute effectue une requête de recherche contenant l’un des mots-clés achetés. Inévitablement, des personnes mal intentionnées ont acheté des mots-clés correspondant à des marques déposées. Les ayants droit se sont donc naturellement dirigés contre Google, recherchant sa reponsabilité à défaut de pouvoir rechercher celle des annonceurs. Dans un très important arrêt du 23 mars 2010, la Cour de Justice de l’Union Européenne (CJUE) a dit que 1) Google ne faisait pas un usage des marques dans le commerce, ce qui exclut sa responsabilité directe pour contrefaçon ; 2) Google pouvait bénéficier du régime spécial de responsabilité des intermédiaires techniques, défini par la directive «commerce électronique», dès lors que son activité revêtait un caractère «purement technique, automatique et passif» impliquant qu’elle n’avait pas «la connaissance ni le contrôle des informations transmises ou stockées» pour le compte des annonceurs. En d’autres termes, il appartient au juges du fond des États membres d’apprécier, au cas d’espèce, si Google ou le prestataire en cause a bien agi en tant qu’intermédiaire technique, eu égard aux éléments de fait qui leur sont présentés.
Dans le jugement du 14 novembre 2010, les juges parisiens ont décidé que «compte tenu de la connaissance avérée par le responsable du service Adwords, du contenu des messages et mots clés, comme la maîtrise éditoriale qui lui est contractuellement réservée, qu’il convient d’exclure à son égard la qualification d’hébergeur et le bénéfice de dérogations de responsabilité qui lui est réservé».
Il n’a jamais été douteux qu’un intermédiaire technique qui prend connaissance de l’existence d’un contenu illicite et ne fait rien pour en faire cesser la diffusion, alors qu’il en a le pouvoir, engage sa responsabilité. C’est même le principe fondamental sur lequel repose le régime spécial de responsabilité et le système associé de notification (précisons au passage que le droit américain rejoint le droit européen sur ce point). En revanche, la question de la maîtrise éditoriale de l’information diffusée par l’hébergeur fait polémique depuis plus de 10 ans. La jurisprudence française s’orientait progressivement, depuis la fin des années 2000, vers une conception extensive de la qualification d’hébergeur, acceptant de conférer le bénéfice du régime spécial de responsabilité à de nombreux opérateurs. Ainsi, des opérateurs disposant des moyens juridiques et matériels de contrôler les contenus, mais refusant par opportunité commerciale de le faire, purent bénéficier du régime spécial de responsabilité.
Le jugement du TGI de Paris va à contre-courant en se fondant sur «la maîtrise éditoriale (…) contractuellement réservée» à Google. Autrement dit, le simple fait que Google n’exerce pas de contrôle de nature éditoriale ne suffit pas à l’exonérer de responsabilité, dès lors que la société s’est contractuellement réservé le droit d’exercer un tel contrôle. Dit encore d’une autre manière, et en poursuivant le raisonnement jusqu’au bout, si Google n’exerce pas de contrôle c’est par un choix, concrétisé dans les stipulations contractuelles, et non en raison des contraintes liées à son activité ; par conséquent elle ne doit pas pouvoir bénéficier du régime spécial de responsabilité élaboré afin de protégé les opérateurs dont l’activité d’intermédiation est incompatible avec une maîtrise éditoriale des contenus.
Les suites de cette affaire, en appel (certainement) et en cassation (probablement), ne manqueront pas d’intérêt !
La CJUE a précisé, dans un arrêt du 25 novembre 2011 les règles de compétence internationale des juridictions des États membres en présence de cyber-délits informationnels.
Une personne diffamée ou injuriée en ligne a le droit d’obtenir réparation du préjudice subi. Pour ce faire, elle doit saisir le tribunal compétent. La question qui se pose ici est de savoir quel est le tribunal compétent lorsque l’abus de la liberté d’expression a lieu sur Internet, dans un contexte intrinsèquement international. En effet, de tels délits sont dit «complexes» en raison de la dissociation dans l’espace de leurs deux éléments constitutifs : le fait dommageable et le préjudice résultant de ce fait. Concrètement, le message litigieux peut être rédigé par une personne résidant dans un pays A et diffusé depuis ce pays ou depuis un autre pays. Il s’agit du fait dommageable. Les conséquences de l’injure ou de la diffamation peuvent être ressenties par la victime dans un pays B. La victime doit-elle saisir les tribunaux du pays A ou ceux du pays B ? Précisons aux lecteurs peu familiers de la matière que lorsque deux tribunaux sont saisis simultanément, les règles de litispendance s’appliquent, et le tribunal saisi en second doit sursoir à statuer dans l’attente d’une décision du tribunal saisi en premier ; il n’est donc pas possible de saisir à la fois les juridictions du pays A et celles du pays B.
Le réglement européen 44/2001 tranche en principe la question. En premier lieu, «les personnes domiciliées sur le territoire d’un État membre sont attraites, quelle que soit leur nationalité, devant les juridictions de cet État membre» (article 2) ; la compétence des tribunaux du pays A sont donc établies. Toutefois, il est précisé à l’article 5 du réglement que toute «personne domiciliée sur le territoire d’un État membre peut être attraite, dans un autre État membre (…) en matière délictuelle ou quasi délictuelle, devant le tribunal du lieu où le fait dommageable s’est produit ou risque de se produire». Dans l’arrêt Shevill du 7 mars 1995, la Cour de Luxembourg a précisé que «L’expression lieu où le fait dommageable s’est produit doit, en cas de diffamation au moyen d’un article de presse diffusé dans plusieurs États contractants, être interprétée en ce sens que la victime peut intenter contre l’éditeur une action en réparation soit devant les juridictions de l’État contractant du lieu d’établissement de l’éditeur de la publication diffamatoire, compétentes pour réparer l’intégralité des dommages résultant de la diffamation, soit devant les juridictions de chaque État contractant dans lequel la publication a été diffusée et où la victime prétend avoir subi une atteinte à sa réputation, compétentes pour connaître des seuls dommages causés dans l’État de la juridiction saisie».
La question qui se pose, dans le contexte de cyber-délits, est celle de savoir comment déterminer la compétence des tribunaux selon la deuxième branche de l’alternative : les juridictions de l’État dans lequel la publication a été diffusée et où la victime prétend avoir subi un préjudice. Il existe deux réponses possibles. La première réponse est la théorie de l’accessibilité : dès lors que l’information est accessible dans un pays, les tribunaux de ce pays sont compétents. Cette théorie a l’avantage de la simplicité, mais elle présente aussi de nombreux inconvénients ; en particulier, l’information étant accessible en tout point d’accès du réseau, s’instaure une compétence universelle de tous les tribunaux, même de ceux des pays dans lesquels la victime ne subit aucun préjudice réel. Une seconde réponse existe, qui répond au problème de la compétence universelle, mais qui est plus difficile à mettre en oeuvre. Il s’agit de la théorie de la focalisation ou, pour reprendre la terminologie de la Cour d’appel de Paris, des liens significatifs, substantiels ou suffisants entre le for saisi et le préjudice dont on demande réparation. Le fait que le site litigieux vise le public français permet par exemple de caractériser l’existence de ces liens.
C’est dans ce contexte qu’un tribunal parisien a posé la question préjudicielle suivante à la CJUE :
Les articles 2 et 5[, point 3,] du règlement […] doivent-ils être interprétés comme accordant compétence à la juridiction d’un État membre pour juger une action engagée du chef d’une atteinte aux droits de la personnalité susceptible d’avoir été commise par une mise en ligne d’informations et/ou de photographies sur un site internet édité dans un autre État membre par une société domiciliée dans ce second État – ou encore dans un autre État membre, en tout état de cause distinct du premier :
– soit à la seule condition que ce site internet puisse être consulté depuis ce premier État,
– soit seulement lorsqu’existe entre le fait dommageable et le territoire de ce premier État un lien de rattachement suffisant, substantiel ou significatif (…)»
La Cour constate la spécificité d’Internet :
Il apparaît donc qu’internet réduit l’utilité du critère tenant à la diffusion, dans la mesure où la portée de la diffusion de contenus mis en ligne est en principe universelle. De plus, il n’est pas toujours possible, sur le plan technique, de quantifier cette diffusion avec certitude et fiabilité par rapport à un État membre particulier ni, partant, d’évaluer le dommage exclusivement causé dans cet État membre. (point 46)
Elle décide ensuite, au point 51 de l’arrêt :
«le critère de la matérialisation du dommage issu de l’arrêt Shevill (…) confère compétence aux juridictions de chaque État membre sur le territoire duquel un contenu mis en ligne est accessible ou l’a été. Celles-ci sont compétentes pour connaître du seul dommage causé sur le territoire de l’État membre de la juridiction saisie.»
Le critère de l’accessibilité est donc consacré, mais la compétence que les tribunaux peuvent en tirer ne sont valable que pour le préjudice subi dans leur ressort. Il leur faudra donc vérifier que le préjudice est réel, ce qui ne pourra se faire s’il n’existe pas de lien entre le for saisi et le délit.
Dans un arrêt du 24 novembre 2011, la CJUE a exclu le filtrage systématique des communications électroniques par les fournisseurs d’accès.
Sans qu’il soit nécessaire de revenir sur les faits (v. revue n°53), nous relèverons le motif le plus important de l’arrêt, selon lequel la juridiction nationale qui ordonnerait à un FAI d’instaurer un filtrage généralisé des communications sur Internet, afin d’empêcher l’échange par ses clients de fichiers contrefaisants, «ne respecterait pas l’exigence d’assurer un juste équilibre entre le droit de propriété intellectuelle, d’une part, et la liberté d’entreprise, le droit à la protection des données à caractère personnel et la liberté de recevoir des informations, d’autre part».
Le motif de la Cour est suffisamment clair en soi ; peu d’explications sont nécessaires. Nous l’avons souvent répété ici, et la Cour le confirme : le filtrage suppose l’analyse du contenu des communications, et constitue donc une violation de la vie privée des internautes, une atteinte au secret de leurs correspondants et, surtout, une atteinte à la liberté d’expression. Or, en droit européen comme en droit français, l’expression est libre par principe, et ses abus sont réprimés a posteriori. Le filtrage étant une forme de censure, un contrôle préalable de l’information qui présume de l’illicité des contenus échangés, il est contraire au droit fondamental à la liberté d’expression.
Notons également que, s’agissant des adresses IP dont la qualification est parfois contestée, la Cour adopte une position dépourvue d’anbigüité : «ces adresses étant des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs». Les adresses IP sont des données personnelles ; elles doivent donc être protégées, en tant que telles, par les règles européennes et nationales (en France, la loi Informatique et Libertés) relatives à la protection des données personnelles.
• 2018 mots • #Internet #propriété intellectuelle #responsabilité #Google #données personnelles #international #filtrage #censure #liberté d'expression #intermédiaires #jurisprudence #compétenceAu sommaire cette semaine, de nouveaux projets de lois en matière de propriété intellectuelle et un arrêt important concernant la protection des données personnelles et le droit du travail.
Une quarantaine d’organisations ont envoyé une lettre commune au président de la Chambre des représentants des États-Unis [PDF], afin de protester contre les projets de loi «Stop Online Piracy Act» (SOPA) et «Protect Intellectual Property Act» (PIPA). Selon leurs détracteurs, ces deux projets de loi excèdent largement le but légitime de protéger les droits de propriété intellectuelle, pour défendre le puissant lobby de l’industrie culturelle au moyen de mesures attentatoires aux droits fondamentaux des internautes. En particulier, la possibilité de neutraliser les noms de domaines de sites suspectés de véhiculer des fichiers contrefaisants, sans procès équitable préalable, constitue une forme de censure violant la sacro-sainte liberté d’expression garantie par le 1er amendement à la Constitution fédérale. Ces projets de lois américains concernent indirectement les citoyens européens car il est à la fois possible et probable que s’ils devenaient des lois, le droit européen s’orienterait dans la même direction, par un habile «blanchiment législatif» et sous l’influence du traité international anti-contrefaçon ACTA.
En France, alors que le bilan du président Sarkozy en matière de culture numérique est un véritable désastre (comme le relève la Quadrature du Net, notamment à propos des lois HADOPI et LOPPSI : opposition plutôt que conciliation des internautes et des ayants droit, politique répressive inefficace – à ce propos, le secteur du livre envisage des solutions alternatives à Hadopi –, méconnaissance de l’intérêt général au profit des lobbys, violations des droits fondamentaux), le candidat Sarkozy affirme à nouveau que la loi Hadopi «n’est pas une fin en soi» et n’a pas vocation à durer, tout en proposant une loi «Hadopi 3» destinée à la lutte contre le streaming.
En effet, selon le président-candidat, «sur les sites de streaming, l’idéologie du partage (…) c’est l’idéologie de l’argent : je vole d’un côté et je vends de l’autre». Nous sommes du même avis, et nous l’avons dit ici à plusieurs reprises (v. p. ex. n°9, n°57 ou n°60). Il est en effet intolérable que des opérateurs fondent leur modèle économique sur la vente de stockage et de bande passante, tout en sachant que la grande majorités des contenus hébergés et téléchargés sont contrefaisants. Ce que le président-candidat oublie toutefois de dire, c’est qu’en réprimant le partage direct entre internautes, sans but lucratif et à vocation culturelle, sur les réseaux P2P, les lois Hadopi 1 et 2 ont largement favorisé le marché du streaming. Le problème du streaming contrefaisant, qui est bien réel, a donc été causé en large partie par la politique menée depuis 5 ans par le candidat-président.
La Cour de cassation a rendu un arrêt important le 3 novembre dernier, en matière de géolocalisation des salariés (v. aussi l’arrêt de la Cour d’appel). Dans cette affaire, l’employeur avait équipé la voiture de fonction d’un de ses salariés, un commercial, d’un GPS. Il a ensuite utilisé ce GPS pour déterminer le nombre d’heures travaillées par le salarié en fonction des distances parcourues, sans l’en informer. Il en a enfin déduit que le salarié ne remplissait pas ses obligations, et a réduit sa rémunération. Selon la Cour, d’une part, «l’utilisation d’un système de géolocalisation pour assurer le contrôle de la durée du travail, laquelle n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail», ce qui était en l’espèce le cas du salarié, et d’autre part, «un système de géolocalisation ne peut être utilisé par l’employeur pour d’autres finalités que celles qui ont été déclarées auprès de la Commission nationale de l’informatique et des libertés, et portées à la connaissance des salariés», ce qui n’était pas le cas en l’espèce. La rupture du contrat de travail est donc aux torts exclusifs de l’employeur.
• 676 mots • #P2P #propriété intellectuelle #données personnelles #ACTA #Hadopi #LOPPSI #censure #USA #liberté d'expression #bande passante #streaming #jurisprudence #politique #partage #culture #contrefaçon #travail #salariés #géolocalisationGoogle a récemment modifié son logiciel Reader, qui permettait d’indexer des flux RSS, de sélectionner certains articles de ces flux, et de les réagréger dans un nouveau flux. Il n’est plus possible de créer un nouveau flux avec les articles sélectionnés : ceux-ci sont intégrés au réseau social Google+. Il n’y a donc pas eu de revue du web la semaine dernière, car il m’a fallu quelques jours pour trouver une solution de remplacement.
Internet est tombé en panne, cette semaine, à cause d’un firmware défaillant de certains routeurs.
Facebook n’est pas pressé de s’implanter en Chine, où n’est pour l’instant pas accessible. Le réseau social est également minoritaire dans d’autres pays, où il subit la concurrence d’autres réseaux sociaux bien implantés avant lui, comme le Japon, le Brésil ou la Russie qui a récemment décidé de renforcer la surveillance des internautes et des contenus mis en ligne. Dans le cas chinois, toutefois, un des dirigeants de Facebook accuse la législation locale qui serait, selon lui, trop restrictive pour les entreprises étrangères.
Facebook Google+ comme un concurrent sérieux, bien que le réseau social de Google n’en soit qu’à ses débuts. La patron de Facebook, Mark Zuckerberg, a d’ailleurs lancé une attaque frontale contre Google, Yahoo et Microsoft, en affirmant que ces sociétés collectaient des données personnelles à l’insu des internautes, les traitaient dans l’opacité la plus totale, et n’offraient pas de procédure de retrait qui soit simple et accessible aux grand public. Google, pourtant, s’émeut de l’augmentation récente des demandes d’identification d’internautes et de suppression de contenus émanant des autorités françaises.
Pour autant, c’est Facebook qui se retrouve sur la scelette en Europe, où une eurodéputée vient de demander aux autorités communautaires de vérifier la conformité du réseau social au droit européen. Aux États-Unis, Facebook accepte de se soumettre au contrôle de la FTC, et plus précisément à des audits réguliers sur une période de 20 ans.
Aux États-Unis, la CIA surveillerait jusqu’à 5 millions de tweets par jour, afin d’évaluer la réaction des population face aux événements de l’actualité mondiale. En France, au contraire, la CNIL a condamné un opérateur pour avoir «aspiré» des données personnelles publiques d’internautes en violation de la loi Informatique et Libertés.
En France encore, l’UMP a été victime d’un piratage d’une base de données contenant des données personnelles d’un millier de cadre du parti. L’UMP a d’abord démenti être à l’origine de ce fichier, pour expliquer quelques jours plus tard qu’il s’agissait bien d’un fichier du groupe parlementaire UMP à l’Assemblée nationale.
• 433 mots • #Internet #Google #données personnelles #Facebook #réseaux sociaux #piratage #surveillance #Chine #Europe #Microsoft #CNILL’affaire The Pirate Bay a connu un nouveau rebondissement, cette semaine, avec la décision de la justice finlandaise ordonnant le blocage du site. Rappelons que The Pirate Bay fut pendant plusieurs années le plus gros tracker (c’est-à-dire agrégateur) de fichiers torrent permettant de télécharger données sur un réseau P2P. Le blocage du site en Finlande fait suite à une série d’autres décisions de blocage, dans différents pays européens. Pour autant, la mesure ne sera pas très efficace : d’abord, le site sera toujours accessible grâce à des techniques de contournement comme l’utilisation d’un VPN ou directement par le biais de miroirs ; ensuite, The Pirate Bay n’est plus le principal tracker depuis longtemps ; enfin, le P2P appartient au passé, le téléchargement direct occupe la première place des techniques utilisées pour se procurer des fichiers contrefaisants depuis plusieurs années. C’est d’ailleurs l’une des raisons pour lesquelles le patron de Gaumont voudrait que la Hadopi s’intéresse aux sites de streaming, et que les fournisseurs d’accès acceptent plus volontiers de les bloquer. Même son de cloche aux USA, avec la proposition de loi E-PARASITES Act (anciennement PROTECT IP Act) qui propose notamment de revenir sur le régime de responsabilité des intermédiaires du DMCA de 1998 afin de favoriser le filtrage des sites diffusant des fichiers contrefaisants.
Google a mis à jour les données relatives aux demandes d’informations ou de retrait émises par les gouvernements. En France, le nombre de demandes d’identification des internautes a augmenté de 27% ces six derniers mois. En revanche, le nombre de demandes de retrait est beaucoup plus faible : 9 demandes de janvier à juin 2011. Google précise qu’elle ne répond pas favorablement à toutes les demandes, qui doivent reposer sur une base légale.
Considérant, sans doute, que les citoyens ne sont pas assez surveillés sur les réseaux sociaux, un député UMP a proposé, cette semaine, de permettre à l’Hadopi de surveiller Facebook afin de contrôler les groupes extrémistes ou jugés potentiellement dangereux pour les enfants. Sur le fond, une telle surveillance serait trop large pour ne pas être attentatoire à la liberté d’expression ; sur la forme, il n’appartient à l’Hadopi de l’effectuer, sa mission se limitant à la protection des droits de propriété intellectuelle.
Le décret du 25 février 2011 sur la conservation des données de connexion devrait être modifié. Il prévoyait en effet l’obligation pour les intermédiaires de conserver les mots de passe des utilisateurs («g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour»), ce qui était malheureux. En effet, d’une part, les mots de passe ne sont pas des données de connexion permettant d’identifier l’internaute puisque, par hypothèse, ils sont privés et secrets. D’autre part, une telle obligation imposait aux intermédiaires de stocker les mots de passe en clair alors qu’ils sont habituellement stockés sous forme chiffrée. Plus précisément, la technique la plus courante consiste à créer une chaîne de hachage (hash) qui identifie le mot de passe de manière unique, mais à partir de laquelle il n’est pas possible de retrouver le texte en clair. CEtte chaîne est stockée sur les serveurs, et comparée à la chaîne générée lorsque l’utilisateur fournit son mot de passe de connexion. La chaîne de hachage est, en quelque sorte, l’empreinte digitale du mot de passe. Le nouveau texte devrait prévoir la conservation des «données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour». La chaîne de hachage, qui permet de vérifier l’exactitude du mot de passe, mais qui n’est pas le mot de passe en soi, est donc visée. Cette modification du décret est la bienvenue.
Décision importante de l’exécutif espagnol : les données publiques seront soumises à une licence libre et ouverte et toute restriction devra être justifiée. Il est heureux que l’Espagne suive le mouvement de l’open data en protégeant par une licence libre les données publiques qui doivent être accessibles à tous.
• 672 mots • #Internet #téléchargement #propriété intellectuelle #responsabilité #Google #gouvernement #Facebook #filtrage #réseaux sociaux #piratage #surveillance #Hadopi #USA #Espagne #FAI #intermédiaires #streamingAu sommaire cette semaine, un intéressant rapport de la Hadopi en matière de filtrage, les évolutions du principe de neutralité du Net au niveau européen, et l’actualité de la protection des données personnelles.
Sans grande surprise, les recours du FDN et d’Apple contre la loi Hadopi ont été rejetés par le Conseil d’État. Beaucoup plus étonnant, en revanche, les Labs Hadopi ont publié un livre vert rejetant en bloc le filtrage du réseau. Selon la Hadopi, le filtrage est inefficace et attentatoire aux libertés fondamentales (liberté d’expression, droit au respect de la vie privée, protection des données personnelles) et, surtout, sa mise en oeuvre en France constituerait un mauvais exemple qui pourrait être repris ailleurs dans le monde, notamment dans des pays gouvernés par des régimes totalitaires.
La filiale polonaise du fournisseur d’accès allemand T-Mobile envisage de filtrer les publicités sur les sites web, afin de réduire la consommation de bande passante. Il s’agit là d’une atteinte claire à la neutralité du Net, puisqu’il y a sélection en fonction du contenu de la communication. En France, un député propose d’encadrer l’insertion d’adwares dans les logiciels. Il s’agit, là aussi, d’une attaque contre la publicité, mais celle-là est parfaitement légitime. En effet, les adwares s’installent habituellement (sous Windows) avec d’autres logiciels, sans prévenir l’utilisateur. La moindre des choses serait donc de prévenir l’utilisateur, voire de lui donner la possibilité de ne pas installer les adwares accompagnant un logiciel.
A Bruxelles, la question de la neutralité du Net avance. Le Parlement européen a en effet adopté une résolution en faveur de la neutralité du net. Le texte est disponible sur le site de la Quadrature du Net et du Parlement européen (PDF).
En France, la CNIL envisage l’élaboration de règles relatives à la protection des données personnelles spécifiques au cloud computing. Elle lance une consultation publique. Il est vrai que le cloud computing, qui suppose la délocalisation des données (notamment en dehors de l’UE), soulève des questions nouvelle. Toutefois, il ne faut pas oublier que les données personnelles protégées sont celles qui se rapportent à une personne. Pour d’autres documents, tels que les fichiers professionnels, d’autres mécanismes de protection interviennent (par exemple, le secret des correspondances ou la sanction des intrusions dans les systèmes informatiques).
Le moteur de recherche de Google adopte le protocole sécurisé https. Cela signifie qu’il ne sera plus possible à des tiers de savoir ce qu’un internaute recherche sur Google : entre l’ordinateur de l’internaute et les serveurs de Google, le message sera chiffré. Par ailleurs, Google a finalement décidé d’accepter les pseudonymes sur son réseau social Google+, auquel l’entreprise compte intégrer son lecteur de fils RSS Google Reader.
Facebook, de son côté, se trouve au centre d’une nouvelle polémique. En effet, Facebook ne se contenterait pas de stocker les données de ses membres (ce qui légitime, puisque le stockage intervient à la demande des membres), mais aussi des personnes étrangères au réseau social mais reliées d’une manière ou d’un autre à l’un de ses membres. Facebook constituerait ainsi des «shadow profiles» sur des personnes non-inscrites, dans l’attente de leur inscription. Par ailleurs, en Allemagne, Facebook fait l’objet d’un ultimatum : la société américaine a jusqu’au 7 novembre pour se conformer à la législation locale (c’est-à-dire, peu ou prou, aux règles européennes relatives à la protection des données), faute de quoi les autorités allemandes l’actionneront en justice. Il est reproché à Facebook de ne pas respecter la loi allemande dans le cadre de son service de reconnaissance biométrique.
• 607 mots • #neutralité #propriété intellectuelle #Google #vie privée #données personnelles #Facebook #filtrage #Hadopi #liberté d'expression #bande passante #Cloud #Europe #CNILL’on a beaucoup parlé, cette semaine, de l’affaire Copwatch. «Cop» signifie «policier» en anglais, et «watch», «surveiller» ou «surveillance». Copwatch est un site dont le but est de surveiller les policiers français travaillant dans certaines banlieues, dans le but de dénoncer les abus d’autorité. Un tel site aurait été licite s’il n’avait pas porté atteinte au droit à la vie privée des policiers en publiant leurs données personnelles. Le ministre de l’intérieur a donc assigné les principaux FAI français devant le juge des référés, afin d’obtenir le blocage du site. Face à une telle assignation, le juge des référés, qui constate le caractère apparent de l’illicéité et l’urgence de la mise hors ligne du site litigieux, prend une décision temporaire, dans l’attente d’un jugement au fond sur la licéité du site. Mais quelles mesures techniques doit-il ordonner ? C’est là tout le problème, et l’affaire Copwatch l’illustre parfaitement. Dans l’assignation, le ministre de l’intérieur ne demandait pas la mise hors ligne du site entier, mais simplement des pages contenant des données personnelles de policiers (les autres pages étant a priori licites). Le filtrage a donc été envisagé : la technique permet un blocage très sélectif, en fonction du contenu. Cependant, le filtrage est très coûteux pour les FAI. Ceux-ci ont donc demandé au juge, et obtenu de lui, une décision de blocage de l’ensemble du site.
Lorsqu’on parle de blocage ou de filtrage, il faut comprendre les enjeux et faire un choix entre sur-blocage et sous-blocage. On peut choisir des mesures de blocage agressives, par exemple le blocage DNS ou IP, et ainsi s’assurer que le site sera bien bloqué. Dans ce cas, toutes les pages seront bloqués, qu’elles soient licites ou non. Les mesures techniques sont simples, peu coûteuses et efficaces, mais l’atteinte à la liberté d’expression est maximale. On peut aussi choisir le filtrage DPI, qui est encore plus efficace. Dans ce cas, les mesures sont très coûteuses à mettre en oeuvre, et l’atteinte à la vie privée des internautes est maximale (puis qu’il y a une analyse du contenu des communications), mais la liberté d’expression est sauvegardée (puisque seuls les contenus illicites sont bloqués). On peut enfin choisir de dresser une «liste noire» des pages à bloquer. Dans ce cas, liberté d’expression et protection de la vie privée sont respectées, mais la mesure peut facilement être contournée par l’auteur du site bloqué.
En l’espèce, quoi qu’en disent les FAI, le filtrage DPI n’était pas nécessaire. Celui-ci est notamment utile pour empêcher la diffusion de fichiers contrefaisants, lorsqu’on ne peut pas identifier ex ante les contenus à bloquer. Mais en l’occurrence, les contenus illicites étaient précisément identifiés, et il aurait été parfaitement possible d’utiliser un blocage par liste noire. En outre, la facilité de contournement d’une telle mesure de blocage n’aurait pas été un inconvénient puisque, par hypothèse, la décision de référé ordonne des mesures temporaires dans l’attente d’une décision sur le fond. Le temps que les mesures soient contournées, la décision sur le fond peut intervenir. Le blocage de l’ensemble du site, contenus licites inclus, à titre préventif, semble donc excessif.
Christine Albanel, la ministre de la culture à l’origine de la loi Hadopi, invente un nouveau concept : le «droit de lecture». Explication : lorsqu’on achète un livre, l’objet matériel, on devient propriétaire de ce bien, encre et papier, tandis que l’auteur conserve les droits de propriété intellectuelle sur l’oeuvre littéraire. Pour un livre numérique, en revanche, on n’acquiert rien de tangible. Plutôt que de «vendre» des livres numérique, les opérateurs pourraient, selon Albanel, vendre un «droit de lecture» de l’oeuvre. Si la ministre estime que les opérateurs sont les mieux placés pour décider ce que les gens ont le «droit de lire», il n’est alors pas étonnant qu’elle déplore que les autorités de régulation françaises et européennes protègent les consommateurs face aux abus des grands groupes industriels.
Le concept est fort intéressant, il faut l’avouer. Peut-être pourrait-il être étendu, en cas de succès, au «droit de manger», au «droit de respirer» ou au «droit d’exister» ? Plaisanterie mise à part, il s’agit d’un nouveau pas vers le «verrouillage» de la culture, au détriment de l’intérêt général et au profit (financier) exclusif des titulaires de propriété intellectuelle. Il s’agit également du pire cauchemar de Richard Stallman. Et du notre…
Microsoft a bâti son empire sur le système d’exploitation Windows. Aujourd’hui, la société est en position dominante sur le marché des systèmes d’exploitation. La plupart des fabricants de matériel vendent des ordinateurs équipés de Windows. Il s’agit, selon certains, d’une vente liée interdite en droit français par le Code de la consommation. Certains vendeurs offrent donc la possibilité au consommateur de refuser la licence Windows et d’obtenir le remboursement d’une partie du prix du matériel, la vente est alors «déliée» par compensation. Mais il y a un problème : les versions de Windows pré-installées, dites «OEM», ne sont pas facturées aux constructeurs au même prix que les versions publiques de Windows, que l’on peut acheter en boîte dans les grands magasins. Comment, dès lors, connaître le prix exact d’une machine, lorsqu’on prévoit de demander le remboursement de la licence Windows ? C’est rarement possible.
S’ajoute à cela un autre élément : la vente liée n’est pas interdite par le droit communautaire, qui protège seulement les consommateurs contre certaines pratiques abusives. Dans ce contexte, est-il abusif de vendre un ordinateur avec Windows pré-installé, sans indiquer la part du prix attribuable au logiciel ?
Dans un arrêt important, rendu cette semaine, la Cour de cassation a répondu positivement à cette question. En jugeant que «la société Darty n’avait pas à fournir au consommateur les informations relatives aux conditions d’utilisation des logiciels et pouvait se borner à identifier ceux équipant les ordinateurs qu’elle distribue», «alors que ces informations, relatives aux caractéristiques principales d’un ordinateur équipé de logiciels d’exploitation et d’application, sont de celles que le vendeur professionnel doit au consommateur moyen pour lui permettre de prendre une décision en connaissance de cause», la Cour d’appel a violé l’article L. 121-1 du Code de la consommation, interprété à la lumière de la directive européenne 2005/29.
• 1033 mots • #propriété intellectuelle #vie privée #filtrage #surveillance #Hadopi #liberté d'expression #Orange #FAI #régulation #livres #jurisprudence #culture #Microsoft #Windows #vente liée