Droit d’auteur et droits voisins dans l’environnement numérique : la nouvelle Directive européenne à transposer

Dans l’attente de l’imminente publication au Journal Officiel de l’Union Européenne de la Directive « sur le droit d’auteur et les droits voisins dans le marché unique numérique » (adoptée par le Parlement le 26 mars et approuvée par le Conseil le 15 avril 2019), nous pouvons envisager les « mesures visant à assurer le bon fonctionnement du marché du droit d’auteur » (Titre IV) que les États membres auront à transposer dans les deux années suivant la publication à intervenir.

Considérant que depuis la précédente Directive dite DADVSI de 2001, « l'évolution rapide des technologies continue à modifier la manière dont les œuvres ou autres objets protégés sont créés, produits, distribués et exploités », le législateur européen a souhaité répondre aux nouvelles insécurités juridiques apparues en vingt ans, « tant pour les titulaires de droits que pour les utilisateurs, en ce qui concerne certaines utilisations, notamment transfrontières, d'œuvres ou autres objets protégés dans l'environnement numérique » (Considérant 3).

La nouvelle Directive a donc pour objectif notamment de rééquilibrer les rapports entre les titulaires de droits et les diffuseurs de contenus, au titre desquels sont particulièrement visés :
- « les fournisseurs de services de partage de contenus en ligne » (type YouTube), vis-à-vis desquels les droits d’auteurs et droits voisins sont renforcés (1),
- « les agrégateurs d’informations » (type Google Actualités), à l’égard desquels un nouveau droit voisin est créé au bénéfice des éditeurs de presse (2).

1. Extension des droits vis-à-vis des fournisseurs de services de partage

Selon l’ancienne Directive DADVSI, les plateformes de partage de contenus en ligne n’étaient pas nécessairement responsables du contenu posté par leurs utilisateurs ; désormais ces mêmes plateformes devront « obtenir une autorisation, notamment par le biais d’un accord de licence, de la part des titulaires de droits concernés » (Considérant 64).

De tels accords de licence sont ainsi prévus par l’article 17 de la nouvelle Directive, précisant que « si aucune autorisation n’est accordée, les fournisseurs... sont responsables des actes non autorisés de communication au public » ; une telle responsabilité peut toutefois être écartée si le fournisseur concerné :
- déploie « les meilleurs efforts » (notion à préciser…) pour obtenir une telle autorisation, et à défaut garantit « l’indisponibilité des œuvres spécifiques »,
- agit « promptement, dès réception d’une notification suffisamment motivée de la part des titulaires de droit, pour bloquer l’accès aux œuvres et autres objets protégés ».

En outre, seront exemptés de ces contraintes :
- les fournisseurs de contenus « émergents », à savoir exerçant depuis moins de trois ans et ayant un chiffre d’affaires annuel inférieur à 10 millions d’euros,
- plus classiquement les diffusions de critiques, citations, caricatures et parodies.

Enfin le mécanisme est parachevé par des obligations, pour les diffuseurs, de transparence et de traitement « rapide et efficace » des plaintes des titulaires de droits le cas échéant.

2. Création d’un nouveau droit à l’égard des agrégateurs d’informations

La nouvelle Directive rappelle « qu’une presse libre et pluraliste est indispensable pour garantir un journalisme de qualité et l’accès des citoyens à l’information », et que les éditeurs de presse doivent être reconnus et davantage encouragés pour « promouvoir la disponibilité d’informations fiables » (Considérant 55).

Nous voyons donc éclore à l’article 15 de la nouvelle Directive un droit voisin inédit bénéficiant « aux éditeurs de publications de presse établis dans un Etat membre », opposable aux agrégateurs d’informations.

Sont toutefois notamment exemptés les « mots isolés ou très courts extraits d’une publication ».

Notons également la relative brièveté de ce nouveau droit, qui « expire deux ans après que la publication de presse a été publiée ».

***

L’on peut aisément comprendre, à la lecture de tels enjeux, que de nombreux lobbies, défendant notamment la « diffusion libre » sur Internet, se soient opposés à l’adoption d’un tel projet.

Les eurodéputés français ont toutefois pour leur part majoritairement voté pour la nouvelle Directive, de sorte que les discussions au niveau désormais national aux fins de transposition dans le délai biennal devraient demeurer équilibrées... pour un rendez-vous législatif en principe d’ici 2021.

***

Julie GRINGORE
mai 2019


L’Intelligence artificielle selon le Parlement européen

Le Parlement européen vient d’adopter le 12 février 2019 une Résolution sur l’intelligence artificielle (ci-après IA), quasiment deux ans jour pour jour après sa Résolution du 16 février 2017 concernant les règles de droit civil sur la robotique (au premier chef de ses visas) ; qualifié de « l’une des technologies stratégiques du 21ème siècle » (pt. D), le sujet apparaît suffisamment urgent pour que la Résolution souligne, à plusieurs reprises, la nécessité de rattraper le retard européen « vis-à-vis de l’Amérique du Nord et de l’Asie » (pt. AF et I).

Du point de vue des PME (auxquelles une section 3.1.7 est consacrée), le Parlement européen considère que l’IA peut « renforcer la compétitivité de l’industrie et des petites et moyennes entreprise » (pt. F), en permettant « une meilleure adaptation aux besoins des consommateurs » (pt. Q) ; cela vaut en de nombreux domaines « tels que la médecine, les finances, la biologie, l’énergie, l’industrie, la chimie ou le secteur public » notamment (pt. T).

Cette Résolution est l’occasion de faire le point sur les modalités de protection de l’IA (1), ainsi que sur leurs limites actuelles (2).

1. Protection de l’IA : droit des bases de données et des logiciels

Le Parlement européen insiste sur le fait que « les régimes et doctrines juridiques existants peuvent s’appliquer en l’état à ce domaine », de sorte qu’aucune nouvelle législation particulière n’est pour l’instant envisagée (pt. 136) ; diverses dispositions peuvent effectivement d’ores et déjà régir les sources comme le fonctionnement de l’IA.

En premier lieu sur ce qui alimente de manière indispensable l’IA, à savoir les bases de données lui permettant de fonctionner, celles-ci font l’objet d’une protection spécifique au sein de l’Union européenne depuis la Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996, transposée aux art. L341-1 et s. du Code de la propriété intellectuelle ; soulignons que lesdites bases doivent en outre désormais se conformer au Règlement RGPD 2016/679 du 27 avril 2016 si elles impliquent le traitement de données personnelles (voir les précédents articles sur le sujet : Entrée en vigueur du Règlement général sur la protection des données le 24 mai 2018 ; Les données personnelles et le droit français).

En second lieu sur l’essence même de l’IA, celle-ci relève du droit des logiciels, lesquels sont protégés en droit européen depuis la Directive 91/250 du Conseil des Communautés européennes du 14 mai 1991, notamment transposée aux art. L122-6 et s. du Code de la propriété intellectuelle ; cette protection est ainsi intégrée depuis près de trente ans aux droits d’auteur, traités par le premier livre dudit Code.

*

C’est donc sans envisager de prendre dans l’immédiat de nouvelles dispositions spécifiques pour l’IA que le Parlement appréhende la matière, tout en préconisant tout de même des réévaluations régulières de la législation « afin de s’assurer qu’elle soit adaptée à son objectif » (pt. 114), ainsi que des bilans pour « contrôler la pertinence et l’efficacité des règles en matière de propriété intellectuelle » (pt. 136).

2. Contrôle de l’IA : fiabilité des sources et gestion d’exploitation

Le Parlement souligne à plusieurs reprises la priorité humaine sur le système informatique, posant un principe « de responsabilité selon lequel l’humain contrôle la machine » (pt. AK), ou encore qualifiant l’IA « d’outil utile pour compléter l’action humaine et pour améliorer ses performances et réduire les erreurs », sans avoir vocation à la remplacer (pt. 152) ; cela s’illustre tant au niveau de la collecte des données qu’au niveau de leur traitement.

En amont, conscient qu’un système informatique ne sera pas nécessairement capable d’apprécier le degré d’authenticité d’une information, le Parlement invite par exemple la Commission « à veiller à ce que toute personne qui produit des documents ou des vidéos synthétiques comportant des trucages vidéo élaborés ou toute autre vidéo synthétique réaliste déclare explicitement qu’il ne s’agit pas d’un original » (pt. 178) ; il convient, plus généralement, de veiller ainsi à ce que l’IA ne parte pas de postulats erronés si l’on veut s’assurer ensuite de son bon fonctionnement.

En aval, et à titre d’illustration au niveau du traitement des données, le Parlement « fait observer que les technologies de l’IA destinées aux systèmes d’armes automatisés doivent continuer à faire l’objet d’une approche dans laquelle l’homme reste aux commandes » (pt. 150) ; il était apparemment utile de le préciser…

*

Ainsi les aspects éthiques, auxquels la présente Résolution consacre un chapitre entier (5.), apparaissent-ils omniprésents dans la réflexion du Parlement européen qui prône « une technologie centrée sur l’homme » (5.1), tentant de se distinguer en cela notamment des systèmes de crédit social fondés sur l’exploitation d’analyses comportementales adoptés par d’autres pays (pt. 13 et 146).

***

Si la Résolution du Parlement du 12 février 2019 souligne l’urgence qu’il y a désormais à s’adapter aux codes de l’IA en Europe, les prochaines générations devront quant à elles quasiment en faire une seconde langue vivante, ce qui est d’ores et déjà envisagé par le biais de « l’acquisition des compétences numériques, y compris la programmation, dans l’éducation et la formation, depuis l’enseignement fondamental jusqu’à l’apprentissage tout au long de la vie » (pt. 8), le Parlement invitant « instamment les États membres à moderniser leur système d’éducation… et à faire en sorte que les services professionnels de l’Union soient compétitifs à l’échelle internationale dans les décennies à venir » (pt. 121).

Après la course à l’information c’est donc désormais celle à la formation qui est lancée avec l’IA, laquelle pourrait même avoir pris un peu d’avance en la matière, la Résolution indiquant notamment « reconnaître que les algorithmes d’apprentissage automatiques sont entraînés pour apprendre par eux-mêmes... » (pt. 160).

Julie GRINGORE
Février 2019


Les données personnelles et le droit français

 

Le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018 (voir précédent article du mois de mai 2018 sur le présent site) : tous les acteurs professionnels ont alors dû se mettre en conformité avec ces nouvelles exigences en matière de gestion de données personnelles, alors même que le législateur français n’a lui-même promulgué qu’ultérieurement une loi sur le sujet, et que la CNIL continue, plusieurs mois après, de rendre des délibérations pour son application...

Retour sur six mois de textes parus en droit français dans le prolongement de l’entrée en vigueur du Règlement CE RGPD, tant au niveau législatif et exécutif (1) qu’administratif (2).

  1. Loi 2018-493 et Ordonnance 2018-1125

Sur le fond c’est tout d’abord la Loi 2018–493 du 20 juin 2018 qui a adapté la Loi informatique et libertés du 6 janvier 1978 ; ainsi, et à titre d’exemples :

  • la réforme faisant passer la France de son ancien système déclaratif à un système désormais de contrôle en aval, les dispositions relatives à l'obligation de déclaration préalable auprès de la CNIL ont essentiellement disparu, à quelques exceptions près (données de santé notamment) ;
  • corrélativement les pouvoirs de contrôle de la CNIL sont étendus, notamment pour les opérations en ligne, que les contrôleurs peuvent désormais réaliser sous une identité d'emprunt (art. 5 Loi 2018–493 du 20 juin 2018 / art. 44 Loi informatique et libertés du 6 janvier 1978).

Sur la forme c’est ensuite l’Ordonnance 2018–1125 du 12 décembre 2018 qui a plus récemment donné un « plan plus lisible, ordonné et cohérent » à la Loi du 6 janvier 1978 (selon les termes du compte rendu du Conseil des ministres du 12 décembre 2018, même si le nombre d’articles de ladite loi est à cette occasion passé de 72 à 128…) ; ainsi :

  • les nouvelles dispositions RGPD ont essentiellement été concentrées aux articles 42 à 86 de la Loi du 6 janvier 1978, concernant notamment le nouveau droit à la portabilité des données (art. 55), le Registre des activités de traitement et le Délégué à la protection des données (art. 57), ou encore l’analyse d’impact de protection des données (art. 62) ;
  • sans oublier les autres Codes concernés par ces mesures, tels que le Code pénal sanctionnant « d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés » (art. 226-22-2 Code pén.)

Toutefois cet édifice juridique n’en est toujours pas à son terme dès lors que cette dernière Ordonnance n’entrera en vigueur qu’en même temps que le futur Décret devant modifier le Décret informatique et libertés du 20 octobre 2005... mais ce tout de même au plus tard le 1er juin 2019.

2. Délibérations et Modèles CNIL

Parallèlement aux Pouvoirs législatif et exécutif, l’Administration œuvre également, au niveau de la CNIL, pour aider les utilisateurs à appliquer le droit en vigueur.

En premier lieu la CNIL multiplie les notes « pratiques » et autres modèles accessibles sur son site Internet cnil.fr, dont notamment à souligner un registre type permettant à tout organisme de recenser au moins les données à caractère personnel dont il assure le traitement (fichiers clients, salariés, fournisseurs, etc...)

En second lieu la CNIL a également récemment défini, aux termes de deux Délibérations du 11 octobre 2018 (2018–326 et 2018–327), les types d’opérations de traitement suffisamment risqués pour qu’une « analyse d’impact » soit requise (à savoir essentiellement en matière de santé, ressources humaines, localisation ou encore logements sociaux).

Néanmoins sur ce point non plus la CNIL n’a pas « dit son dernier mot », dès lors qu’elle doit encore prochainement publier une liste des traitements qui, à l’inverse, ne présentant pas de risque élevé, ne sont donc pas soumis à la réalisation d’une telle analyse d’impact.

***

Rendez-vous est donc d’ores et déjà pris en 2019 pour surveiller ces nouvelles dispositions à venir tant sur le plan réglementaire qu’administratif.

Julie Gringore