Valhalla.fr
Sic Itur Ad Absurdum
20 Nov 2011 Numéro 84 - Semaine du 14 au 20 novembre 2011

Au sommaire cette semaine, de nouveaux projets de lois en matière de propriété intellectuelle et un arrêt important concernant la protection des données personnelles et le droit du travail.

USA : Protect IP

Une quarantaine d’organisations ont envoyé une lettre commune au président de la Chambre des représentants des États-Unis [PDF], afin de protester contre les projets de loi «Stop Online Piracy Act» (SOPA) et «Protect Intellectual Property Act» (PIPA). Selon leurs détracteurs, ces deux projets de loi excèdent largement le but légitime de protéger les droits de propriété intellectuelle, pour défendre le puissant lobby de l’industrie culturelle au moyen de mesures attentatoires aux droits fondamentaux des internautes. En particulier, la possibilité de neutraliser les noms de domaines de sites suspectés de véhiculer des fichiers contrefaisants, sans procès équitable préalable, constitue une forme de censure violant la sacro-sainte liberté d’expression garantie par le 1er amendement à la Constitution fédérale. Ces projets de lois américains concernent indirectement les citoyens européens car il est à la fois possible et probable que s’ils devenaient des lois, le droit européen s’orienterait dans la même direction, par un habile «blanchiment législatif» et sous l’influence du traité international anti-contrefaçon ACTA.

France : Hadopi 3 ?

En France, alors que le bilan du président Sarkozy en matière de culture numérique est un véritable désastre (comme le relève la Quadrature du Net, notamment à propos des lois HADOPI et LOPPSI : opposition plutôt que conciliation des internautes et des ayants droit, politique répressive inefficace – à ce propos, le secteur du livre envisage des solutions alternatives à Hadopi –, méconnaissance de l’intérêt général au profit des lobbys, violations des droits fondamentaux), le candidat Sarkozy affirme à nouveau que la loi Hadopi «n’est pas une fin en soi» et n’a pas vocation à durer, tout en proposant une loi «Hadopi 3» destinée à la lutte contre le streaming.

En effet, selon le président-candidat, «sur les sites de streaming, l’idéologie du partage (…) c’est l’idéologie de l’argent : je vole d’un côté et je vends de l’autre». Nous sommes du même avis, et nous l’avons dit ici à plusieurs reprises (v. p. ex. n°9, n°57 ou n°60). Il est en effet intolérable que des opérateurs fondent leur modèle économique sur la vente de stockage et de bande passante, tout en sachant que la grande majorités des contenus hébergés et téléchargés sont contrefaisants. Ce que le président-candidat oublie toutefois de dire, c’est qu’en réprimant le partage direct entre internautes, sans but lucratif et à vocation culturelle, sur les réseaux P2P, les lois Hadopi 1 et 2 ont largement favorisé le marché du streaming. Le problème du streaming contrefaisant, qui est bien réel, a donc été causé en large partie par la politique menée depuis 5 ans par le candidat-président.

Géolocalisation des salariés

La Cour de cassation a rendu un arrêt important le 3 novembre dernier, en matière de géolocalisation des salariés (v. aussi l’arrêt de la Cour d’appel). Dans cette affaire, l’employeur avait équipé la voiture de fonction d’un de ses salariés, un commercial, d’un GPS. Il a ensuite utilisé ce GPS pour déterminer le nombre d’heures travaillées par le salarié en fonction des distances parcourues, sans l’en informer. Il en a enfin déduit que le salarié ne remplissait pas ses obligations, et a réduit sa rémunération. Selon la Cour, d’une part, «l’utilisation d’un système de géolocalisation pour assurer le contrôle de la durée du travail, laquelle n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail», ce qui était en l’espèce le cas du salarié, et d’autre part, «un système de géolocalisation ne peut être utilisé par l’employeur pour d’autres finalités que celles qui ont été déclarées auprès de la Commission nationale de l’informatique et des libertés, et portées à la connaissance des salariés», ce qui n’était pas le cas en l’espèce. La rupture du contrat de travail est donc aux torts exclusifs de l’employeur.

• 676 mots • #P2P #propriété intellectuelle #données personnelles #ACTA #Hadopi #LOPPSI #censure #USA #liberté d'expression #bande passante #streaming #jurisprudence #politique #partage #culture #contrefaçon #travail #salariés #géolocalisation
13 Nov 2011 Numéro 83 - Semaine du 7 au 13 novembre 2011

Google a récemment modifié son logiciel Reader, qui permettait d’indexer des flux RSS, de sélectionner certains articles de ces flux, et de les réagréger dans un nouveau flux. Il n’est plus possible de créer un nouveau flux avec les articles sélectionnés : ceux-ci sont intégrés au réseau social Google+. Il n’y a donc pas eu de revue du web la semaine dernière, car il m’a fallu quelques jours pour trouver une solution de remplacement.

Internet est tombé en panne, cette semaine, à cause d’un firmware défaillant de certains routeurs.

Facebook n’est pas pressé de s’implanter en Chine, où n’est pour l’instant pas accessible. Le réseau social est également minoritaire dans d’autres pays, où il subit la concurrence d’autres réseaux sociaux bien implantés avant lui, comme le Japon, le Brésil ou la Russie qui a récemment décidé de renforcer la surveillance des internautes et des contenus mis en ligne. Dans le cas chinois, toutefois, un des dirigeants de Facebook accuse la législation locale qui serait, selon lui, trop restrictive pour les entreprises étrangères.

Facebook Google+ comme un concurrent sérieux, bien que le réseau social de Google n’en soit qu’à ses débuts. La patron de Facebook, Mark Zuckerberg, a d’ailleurs lancé une attaque frontale contre Google, Yahoo et Microsoft, en affirmant que ces sociétés collectaient des données personnelles à l’insu des internautes, les traitaient dans l’opacité la plus totale, et n’offraient pas de procédure de retrait qui soit simple et accessible aux grand public. Google, pourtant, s’émeut de l’augmentation récente des demandes d’identification d’internautes et de suppression de contenus émanant des autorités françaises.

Pour autant, c’est Facebook qui se retrouve sur la scelette en Europe, où une eurodéputée vient de demander aux autorités communautaires de vérifier la conformité du réseau social au droit européen. Aux États-Unis, Facebook accepte de se soumettre au contrôle de la FTC, et plus précisément à des audits réguliers sur une période de 20 ans.

Aux États-Unis, la CIA surveillerait jusqu’à 5 millions de tweets par jour, afin d’évaluer la réaction des population face aux événements de l’actualité mondiale. En France, au contraire, la CNIL a condamné un opérateur pour avoir «aspiré» des données personnelles publiques d’internautes en violation de la loi Informatique et Libertés.

En France encore, l’UMP a été victime d’un piratage d’une base de données contenant des données personnelles d’un millier de cadre du parti. L’UMP a d’abord démenti être à l’origine de ce fichier, pour expliquer quelques jours plus tard qu’il s’agissait bien d’un fichier du groupe parlementaire UMP à l’Assemblée nationale.

• 433 mots • #Internet #Google #données personnelles #Facebook #réseaux sociaux #piratage #surveillance #Chine #Europe #Microsoft #CNIL
30 Oct 2011 Numéro 81 - Semaine du 24 au 30 octobre 2011

L’affaire The Pirate Bay a connu un nouveau rebondissement, cette semaine, avec la décision de la justice finlandaise ordonnant le blocage du site. Rappelons que The Pirate Bay fut pendant plusieurs années le plus gros tracker (c’est-à-dire agrégateur) de fichiers torrent permettant de télécharger données sur un réseau P2P. Le blocage du site en Finlande fait suite à une série d’autres décisions de blocage, dans différents pays européens. Pour autant, la mesure ne sera pas très efficace : d’abord, le site sera toujours accessible grâce à des techniques de contournement comme l’utilisation d’un VPN ou directement par le biais de miroirs ; ensuite, The Pirate Bay n’est plus le principal tracker depuis longtemps ; enfin, le P2P appartient au passé, le téléchargement direct occupe la première place des techniques utilisées pour se procurer des fichiers contrefaisants depuis plusieurs années. C’est d’ailleurs l’une des raisons pour lesquelles le patron de Gaumont voudrait que la Hadopi s’intéresse aux sites de streaming, et que les fournisseurs d’accès acceptent plus volontiers de les bloquer. Même son de cloche aux USA, avec la proposition de loi E-PARASITES Act (anciennement PROTECT IP Act) qui propose notamment de revenir sur le régime de responsabilité des intermédiaires du DMCA de 1998 afin de favoriser le filtrage des sites diffusant des fichiers contrefaisants.

Google a mis à jour les données relatives aux demandes d’informations ou de retrait émises par les gouvernements. En France, le nombre de demandes d’identification des internautes a augmenté de 27% ces six derniers mois. En revanche, le nombre de demandes de retrait est beaucoup plus faible : 9 demandes de janvier à juin 2011. Google précise qu’elle ne répond pas favorablement à toutes les demandes, qui doivent reposer sur une base légale.

Considérant, sans doute, que les citoyens ne sont pas assez surveillés sur les réseaux sociaux, un député UMP a proposé, cette semaine, de permettre à l’Hadopi de surveiller Facebook afin de contrôler les groupes extrémistes ou jugés potentiellement dangereux pour les enfants. Sur le fond, une telle surveillance serait trop large pour ne pas être attentatoire à la liberté d’expression ; sur la forme, il n’appartient à l’Hadopi de l’effectuer, sa mission se limitant à la protection des droits de propriété intellectuelle.

Le décret du 25 février 2011 sur la conservation des données de connexion devrait être modifié. Il prévoyait en effet l’obligation pour les intermédiaires de conserver les mots de passe des utilisateurs («g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour»), ce qui était malheureux. En effet, d’une part, les mots de passe ne sont pas des données de connexion permettant d’identifier l’internaute puisque, par hypothèse, ils sont privés et secrets. D’autre part, une telle obligation imposait aux intermédiaires de stocker les mots de passe en clair alors qu’ils sont habituellement stockés sous forme chiffrée. Plus précisément, la technique la plus courante consiste à créer une chaîne de hachage (hash) qui identifie le mot de passe de manière unique, mais à partir de laquelle il n’est pas possible de retrouver le texte en clair. CEtte chaîne est stockée sur les serveurs, et comparée à la chaîne générée lorsque l’utilisateur fournit son mot de passe de connexion. La chaîne de hachage est, en quelque sorte, l’empreinte digitale du mot de passe. Le nouveau texte devrait prévoir la conservation des «données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour». La chaîne de hachage, qui permet de vérifier l’exactitude du mot de passe, mais qui n’est pas le mot de passe en soi, est donc visée. Cette modification du décret est la bienvenue.

Décision importante de l’exécutif espagnol : les données publiques seront soumises à une licence libre et ouverte et toute restriction devra être justifiée. Il est heureux que l’Espagne suive le mouvement de l’open data en protégeant par une licence libre les données publiques qui doivent être accessibles à tous.

• 672 mots • #Internet #téléchargement #propriété intellectuelle #responsabilité #Google #gouvernement #Facebook #filtrage #réseaux sociaux #piratage #surveillance #Hadopi #USA #Espagne #FAI #intermédiaires #streaming
23 Oct 2011 Numéro 80 - Semaine du 17 au 23 octobre 2011

Au sommaire cette semaine, un intéressant rapport de la Hadopi en matière de filtrage, les évolutions du principe de neutralité du Net au niveau européen, et l’actualité de la protection des données personnelles.

Hadopi - Propriété intellectuelle

Sans grande surprise, les recours du FDN et d’Apple contre la loi Hadopi ont été rejetés par le Conseil d’État. Beaucoup plus étonnant, en revanche, les Labs Hadopi ont publié un livre vert rejetant en bloc le filtrage du réseau. Selon la Hadopi, le filtrage est inefficace et attentatoire aux libertés fondamentales (liberté d’expression, droit au respect de la vie privée, protection des données personnelles) et, surtout, sa mise en oeuvre en France constituerait un mauvais exemple qui pourrait être repris ailleurs dans le monde, notamment dans des pays gouvernés par des régimes totalitaires.

Neutralité du Net

La filiale polonaise du fournisseur d’accès allemand T-Mobile envisage de filtrer les publicités sur les sites web, afin de réduire la consommation de bande passante. Il s’agit là d’une atteinte claire à la neutralité du Net, puisqu’il y a sélection en fonction du contenu de la communication. En France, un député propose d’encadrer l’insertion d’adwares dans les logiciels. Il s’agit, là aussi, d’une attaque contre la publicité, mais celle-là est parfaitement légitime. En effet, les adwares s’installent habituellement (sous Windows) avec d’autres logiciels, sans prévenir l’utilisateur. La moindre des choses serait donc de prévenir l’utilisateur, voire de lui donner la possibilité de ne pas installer les adwares accompagnant un logiciel.

A Bruxelles, la question de la neutralité du Net avance. Le Parlement européen a en effet adopté une résolution en faveur de la neutralité du net. Le texte est disponible sur le site de la Quadrature du Net et du Parlement européen (PDF).

Vie privée et données personnelles

En France, la CNIL envisage l’élaboration de règles relatives à la protection des données personnelles spécifiques au cloud computing. Elle lance une consultation publique. Il est vrai que le cloud computing, qui suppose la délocalisation des données (notamment en dehors de l’UE), soulève des questions nouvelle. Toutefois, il ne faut pas oublier que les données personnelles protégées sont celles qui se rapportent à une personne. Pour d’autres documents, tels que les fichiers professionnels, d’autres mécanismes de protection interviennent (par exemple, le secret des correspondances ou la sanction des intrusions dans les systèmes informatiques).

Le moteur de recherche de Google adopte le protocole sécurisé https. Cela signifie qu’il ne sera plus possible à des tiers de savoir ce qu’un internaute recherche sur Google : entre l’ordinateur de l’internaute et les serveurs de Google, le message sera chiffré. Par ailleurs, Google a finalement décidé d’accepter les pseudonymes sur son réseau social Google+, auquel l’entreprise compte intégrer son lecteur de fils RSS Google Reader.

Facebook, de son côté, se trouve au centre d’une nouvelle polémique. En effet, Facebook ne se contenterait pas de stocker les données de ses membres (ce qui légitime, puisque le stockage intervient à la demande des membres), mais aussi des personnes étrangères au réseau social mais reliées d’une manière ou d’un autre à l’un de ses membres. Facebook constituerait ainsi des «shadow profiles» sur des personnes non-inscrites, dans l’attente de leur inscription. Par ailleurs, en Allemagne, Facebook fait l’objet d’un ultimatum : la société américaine a jusqu’au 7 novembre pour se conformer à la législation locale (c’est-à-dire, peu ou prou, aux règles européennes relatives à la protection des données), faute de quoi les autorités allemandes l’actionneront en justice. Il est reproché à Facebook de ne pas respecter la loi allemande dans le cadre de son service de reconnaissance biométrique.

• 607 mots • #neutralité #propriété intellectuelle #Google #vie privée #données personnelles #Facebook #filtrage #Hadopi #liberté d'expression #bande passante #Cloud #Europe #CNIL
16 Oct 2011 Numéro 79 - Semaine du 10 au 16 octobre 2011


Affaire Copwatch

L’on a beaucoup parlé, cette semaine, de l’affaire Copwatch. «Cop» signifie «policier» en anglais, et «watch», «surveiller» ou «surveillance». Copwatch est un site dont le but est de surveiller les policiers français travaillant dans certaines banlieues, dans le but de dénoncer les abus d’autorité. Un tel site aurait été licite s’il n’avait pas porté atteinte au droit à la vie privée des policiers en publiant leurs données personnelles. Le ministre de l’intérieur a donc assigné les principaux FAI français devant le juge des référés, afin d’obtenir le blocage du site. Face à une telle assignation, le juge des référés, qui constate le caractère apparent de l’illicéité et l’urgence de la mise hors ligne du site litigieux, prend une décision temporaire, dans l’attente d’un jugement au fond sur la licéité du site. Mais quelles mesures techniques doit-il ordonner ? C’est là tout le problème, et l’affaire Copwatch l’illustre parfaitement. Dans l’assignation, le ministre de l’intérieur ne demandait pas la mise hors ligne du site entier, mais simplement des pages contenant des données personnelles de policiers (les autres pages étant a priori licites). Le filtrage a donc été envisagé : la technique permet un blocage très sélectif, en fonction du contenu. Cependant, le filtrage est très coûteux pour les FAI. Ceux-ci ont donc demandé au juge, et obtenu de lui, une décision de blocage de l’ensemble du site.

Lorsqu’on parle de blocage ou de filtrage, il faut comprendre les enjeux et faire un choix entre sur-blocage et sous-blocage. On peut choisir des mesures de blocage agressives, par exemple le blocage DNS ou IP, et ainsi s’assurer que le site sera bien bloqué. Dans ce cas, toutes les pages seront bloqués, qu’elles soient licites ou non. Les mesures techniques sont simples, peu coûteuses et efficaces, mais l’atteinte à la liberté d’expression est maximale. On peut aussi choisir le filtrage DPI, qui est encore plus efficace. Dans ce cas, les mesures sont très coûteuses à mettre en oeuvre, et l’atteinte à la vie privée des internautes est maximale (puis qu’il y a une analyse du contenu des communications), mais la liberté d’expression est sauvegardée (puisque seuls les contenus illicites sont bloqués). On peut enfin choisir de dresser une «liste noire» des pages à bloquer. Dans ce cas, liberté d’expression et protection de la vie privée sont respectées, mais la mesure peut facilement être contournée par l’auteur du site bloqué.

En l’espèce, quoi qu’en disent les FAI, le filtrage DPI n’était pas nécessaire. Celui-ci est notamment utile pour empêcher la diffusion de fichiers contrefaisants, lorsqu’on ne peut pas identifier ex ante les contenus à bloquer. Mais en l’occurrence, les contenus illicites étaient précisément identifiés, et il aurait été parfaitement possible d’utiliser un blocage par liste noire. En outre, la facilité de contournement d’une telle mesure de blocage n’aurait pas été un inconvénient puisque, par hypothèse, la décision de référé ordonne des mesures temporaires dans l’attente d’une décision sur le fond. Le temps que les mesures soient contournées, la décision sur le fond peut intervenir. Le blocage de l’ensemble du site, contenus licites inclus, à titre préventif, semble donc excessif.

Le droit de lire

Christine Albanel, la ministre de la culture à l’origine de la loi Hadopi, invente un nouveau concept : le «droit de lecture». Explication : lorsqu’on achète un livre, l’objet matériel, on devient propriétaire de ce bien, encre et papier, tandis que l’auteur conserve les droits de propriété intellectuelle sur l’oeuvre littéraire. Pour un livre numérique, en revanche, on n’acquiert rien de tangible. Plutôt que de «vendre» des livres numérique, les opérateurs pourraient, selon Albanel, vendre un «droit de lecture» de l’oeuvre. Si la ministre estime que les opérateurs sont les mieux placés pour décider ce que les gens ont le «droit de lire», il n’est alors pas étonnant qu’elle déplore que les autorités de régulation françaises et européennes protègent les consommateurs face aux abus des grands groupes industriels.

Le concept est fort intéressant, il faut l’avouer. Peut-être pourrait-il être étendu, en cas de succès, au «droit de manger», au «droit de respirer» ou au «droit d’exister» ? Plaisanterie mise à part, il s’agit d’un nouveau pas vers le «verrouillage» de la culture, au détriment de l’intérêt général et au profit (financier) exclusif des titulaires de propriété intellectuelle. Il s’agit également du pire cauchemar de Richard Stallman. Et du notre…

Vente liée matériel/logiciel

Microsoft a bâti son empire sur le système d’exploitation Windows. Aujourd’hui, la société est en position dominante sur le marché des systèmes d’exploitation. La plupart des fabricants de matériel vendent des ordinateurs équipés de Windows. Il s’agit, selon certains, d’une vente liée interdite en droit français par le Code de la consommation. Certains vendeurs offrent donc la possibilité au consommateur de refuser la licence Windows et d’obtenir le remboursement d’une partie du prix du matériel, la vente est alors «déliée» par compensation. Mais il y a un problème : les versions de Windows pré-installées, dites «OEM», ne sont pas facturées aux constructeurs au même prix que les versions publiques de Windows, que l’on peut acheter en boîte dans les grands magasins. Comment, dès lors, connaître le prix exact d’une machine, lorsqu’on prévoit de demander le remboursement de la licence Windows ? C’est rarement possible.

S’ajoute à cela un autre élément : la vente liée n’est pas interdite par le droit communautaire, qui protège seulement les consommateurs contre certaines pratiques abusives. Dans ce contexte, est-il abusif de vendre un ordinateur avec Windows pré-installé, sans indiquer la part du prix attribuable au logiciel ?

Dans un arrêt important, rendu cette semaine, la Cour de cassation a répondu positivement à cette question. En jugeant que «la société Darty n’avait pas à fournir au consommateur les informations relatives aux conditions d’utilisation des logiciels et pouvait se borner à identifier ceux équipant les ordinateurs qu’elle distribue», «alors que ces informations, relatives aux caractéristiques principales d’un ordinateur équipé de logiciels d’exploitation et d’application, sont de celles que le vendeur professionnel doit au consommateur moyen pour lui permettre de prendre une décision en connaissance de cause», la Cour d’appel a violé l’article L. 121-1 du Code de la consommation, interprété à la lumière de la directive européenne 2005/29.

• 1033 mots • #propriété intellectuelle #vie privée #filtrage #surveillance #Hadopi #liberté d'expression #Orange #FAI #régulation #livres #jurisprudence #culture #Microsoft #Windows #vente liée