Les évolutions du droit du numérique attendues en 2019

Publié le 21/01/2019 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin et Stéphanie Foulgoc du 21 janvier 2019 pour CIO Online.

L’année 2019 se partagera entre innovations juridiques (localisation des données, réglementation de la blockchain, responsabilité des objets autonomes) et une éternelle recherche d’équilibre entre des intérêts divergents (Google et le droit au déréférencement, relations entre éditeurs et utilisateurs de progiciels).

Dépassement d’une licence de progiciel : contrefaçon ou manquement contractuel ?

Il est une question qui devrait être tranchée depuis longtemps mais à qui sait attendre tout vient à point. Lorsqu’un différend nait entre un éditeur de logiciel et un licencié, typiquement sur le nombre d’utilisateurs autorisés à utiliser le progiciel, s’agit-il d’un problème de contrefaçon ou d’inexécution contractuelle ?

L’enjeu de la distinction est le suivant : la contrefaçon est un délit pénal et sa constatation peut s’opérer à l’aide d’une procédure judiciaire spécifique et « énergique » : la saisie-contrefaçon. Rien de tel en cas de « simple » manquement contractuel.

Maintenant que les audits de licence par les éditeurs sont pratiques courantes, il est essentiel de savoir selon quel régime juridique sera traité le litige qui peut s’en suivre entre l’éditeur et l’entreprise utilisatrice.

Les droits de propriété intellectuelle en général et le logiciel en particulier sont des matières harmonisées au niveau de l’Union européenne, par l’effet de directives telles que celles du 29 avril 2004 relative au respect des droits de propriété intellectuelle et celle du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur. En conséquence, lorsqu’une question de principe telle que celle-ci se pose, elle peut être remontée à la Cour de Justice de l’Union Européenne afin que celle-ci fournisse l’interprétation à suivre des directives.

A la faveur d’un différend pendant devant la Cour d’appel de Paris, entre les sociétés Free et IT Development, le juge français a choisi de saisir la CJUE de cette question : « Le fait pour un licencié de logiciel de ne pas respecter les termes d’un contrat de licence de logiciel (par expiration d’une période d’essai, dépassement du nombre d’utilisateurs autorisés ou d’une autre unité de mesure, comme les processeurs pouvant être utilisés pour faire exécuter les instructions du logiciel, ou par modification du code-source du logiciel lorsque la licence réserve ce droit au titulaire initial) constitue-t-il : une contrefaçon […] ou bien peut-il obéir à un régime juridique distinct, comme le régime de la responsabilité contractuelle de droit commun ? »

Réponse dans les prochains mois.

Libre circulation des données non personnelles

Moins médiatisé que son prédécesseur sur les données personnelles, un autre règlement européen a été adopté le 14 novembre 2018 et prévoit des règles spécifiques visant à lever deux obstacles au développement de l’économie des données, non personnelles cette fois, au sein de l’Union : les exigences de certaines autorités nationales quant à la localisation de données sur le territoire de l’Etat membre concerné et les pratiques menant à une dépendance à l’égard des fournisseurs dans le secteur privé.

Le règlement devra permettre un déploiement efficace des projets IoT (internet des objets), d’intelligence artificielle et d’apprentissage automatique, qui représentent des sources importantes de données à caractère non personnel.

Ce règlement qui entrera en vigueur mi-mai 2019, s’applique aux fournisseurs de services de traitements de données électroniques dans l’Union, donc soit parce-qu’il est fourni aux utilisateurs résidant ou disposant d’un établissement dans l’Union, soit parce que le prestataire réside ou dispose d’un établissement dans l’Union.

Les États membres devront veiller, d’ici le 30 mai 2021, à ce que toute exigence existante de localisation des données qui est établie dans une disposition législative, réglementaire ou administrative de nature générale et qui n’est pas conforme au principe de libre circulation soit abrogé, sauf si elle est justifiée par des motifs de sécurité publique, et dans le respect du principe de proportionnalité. Cette règle nouvelle ne devra pas affecter le pouvoir des autorités nationales compétentes de demander ou obtenir l’accès à des données, même localisées dans un autre Etat membre.

Le règlement incite également à la mise en place de codes de conduite en vue d’assurer le portage des données dans des formats structurés, usuels et lisibles par machine, notamment dans des formats standards ouverts, en vue de faciliter le changement de fournisseur.

Droit de Google : la portée du droit au « déréférencement »

C’est une nouvelle fois de la CJUE que nous attendons des précisions sur un autre sujet essentiel : le droit à l’oubli sur un moteur de recherche.

Mémoire absolue sur tout et sur tous, il est essentiel pour les individus que des informations les concernant puissent disparaître des résultats d’indexation de Google pour préserver leur réputation ou leur vie privée.

Depuis 2014 et un arrêt dit « Google Spain », il est acquis que le « droit à l’oubli » s’applique aux résultats d’indexation d’un moteur de recherche. En conséquence, et sous réserve de certaines exceptions, Google doit déréférencer un résultat lorsque celui-ci porte sur des données à caractère personnel.

En 2015, à la suite d’une plainte, la CNIL a mis en demeure Google de procéder à un tel déréférencement sur l’ensemble de ses sites, autrement dit quelle que soit le nom de domaine utilisé pour accéder au moteur de recherche. Google a contesté cette injonction devant le Conseil d’Etat, opérant le déréférencement uniquement pour ses sites utilisant un nom de domaine d’un pays de l’Union européenne. Le Conseil d’Etat a donc saisi la CJUE de cette question : le “droit au déréférencement” doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche est tenu […] d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche est lancée […] ?

Le 10 janvier dernier, l’avocat général a rendu son avis sur cette question et se prononce en ce sens :

  • Google se doit de supprimer les liens litigieux des résultats affichés à la suite d’une recherche effectuée dans un lieu situé dans l’Union européenne.
  • Google est tenu de prendre toute mesure à sa disposition afin d’assurer un déréférencement efficace et complet. Cela inclut, notamment, la technique dite du « géo-blocage », depuis une adresse IP réputée localisée dans l’un des États membres.

C’est encore un différend entre Google et la CNIL, porté devant le Conseil d’Etat, qui donne lieu à une seconde question préjudicielle devant la CJUE concernant l’étendue de l’obligation pour Google de procéder à un déréférencement au fondement du droit à l’oubli.

Google a refusé de procéder à de tels déréférencements lorsque les liens renvoyaient vers des pages aux contenus portant sur des personnes ayant eu, volontairement ou involontairement, une exposition publique : une candidate à des élections cantonales sujette d’une vidéo satyrique sur Youtube, un article de Libération faisant état des liens d’une personne avec l’église de scientologie, des articles sur une personne mise en examen. La caractéristique commune de ces informations est de constituer des données sensibles au sens du droit des données personnelles : opinion politique, appartenance religieuse, infraction pénale.

Dans cette affaire également, l’avocat général a rendu ses conclusions le 10 janvier 2019. Il considère que Google, saisi d’une demande de déréférencement, est amené à procéder à une mise en balance entre, d’une part, le droit au respect de la vie privée ainsi que le droit à la protection des données et, d’autre part, le droit du public à avoir accès à l’information en question ainsi que le droit de la liberté d’expression de celui dont émane l’information. C’est donc renvoyer le problème… à Google et surtout laisser le plaignant tributaire de l’interprétation qui sera opérée par le moteur de recherche.

Nous sommes maintenant dans l’attente des décisions de la Cour.

ICO et prestataires d’actifs numériques : les premières étapes d’un encadrement juridique 

Le gouvernement et l’AMF ont constaté que les levées de fonds en cryptomonnaie (Initial Coin Offering ou ICO) étaient de plus en plus fréquentes et appréciées des investisseurs, mais que pour autant aucune réglementation n’était prévue en France, ni même par l’Union européenne.

Le projet de loi PACTE (Plan d’action pour la croissance et la transformation des entreprises), qui a été adopté par l’Assemblée nationale, et va être débattu au Sénat à la fin de ce mois de janvier 2019, vise à permettre aux consommateurs d’identifier les offres sérieuses de jetons de cryptomonnaie qui ne seraient pas régis par la réglementation financière en vigueur.

L’ambition du législateur est toutefois limitée à la mise en place d’une procédure de visa facultatif qui pourrait être donné par l’AMF aux émetteurs de jetons utilitaires constitués en personne morale de droit français répondant à un certain nombre d’exigences, en vue de la mise en place d’une « Liste Blanche », outil de référence pour les investisseurs.

Pour obtenir ce visa, les émetteurs de jetons devront fournir à l’AMF des informations.

Les exigences nouvelles seraient peu contraignantes. Le succès de ce nouveau dispositif informationnel dépendra du degré d’exigences de l’AMF dans l’examen des demandes, et de la confiance qu’y accorderont les investisseurs, par rapport aux émetteurs qui auront décidé de ne pas obtenir de visa.

S’il est maintenu par le Sénat dans la loi PACTE et adopté, ce régime juridique de délivrance de visa ne sera complet qu’après modification du règlement de l’AMF.

Le projet de loi PACTE prévoit par ailleurs un encadrement nouveau des « prestataires de services sur actifs numériques » inséré par voie d’amendement.

Ces dispositions s’appliqueraient à la fois aux services portant sur les jetons utilitaires pouvant faire l’objet d’ICO, et à d’autres actifs numériques définis comme : « Toute représentation numérique d’une valeur qui n’est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n’est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d’une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d’échange et qui peut être transférée, stockée ou échangée électroniquement ».

La mise en place de certains de ces services tels que la conservation d’actifs numériques pour le compte de tiers, serait soumise à enregistrement obligatoire auprès de l’AMF, après avis de l’ACPR.

D’autres services, tels que l’exploitation d’une plateforme de négociation d’actifs numériques, s’ils sont exercés à titre de profession habituelle, peuvent requérir l’obtention d’un agrément optionnel auprès de l’AMF.

L’agrément ne serait délivré qu’aux prestataires répondant à un certain nombre d’exigences telles que la mise en place d’un système informatique résilient et d’un dispositif de sécurité et de contrôle interne adéquat.

L’AMF pourrait vérifier la sécurité des systèmes d’information des prestataires, le cas échéant en sollicitant l’avis de l’ANSSI et de la Banque de France.

Des objets autonomes et responsables ?

Le constat est fait par la Commission européenne que comme jadis l’électricité, l’intelligence artificielle transforme le monde. Aussi intelligents soient ces objets, leur autonomie d’action dans un monde qui n’est pas artificiel mais bien réel engendre de nouveaux risques.

Sur le sujet particulier de la voiture autonome, le projet de loi PACTE précité, actuellement en discussion, entend assouplir les conditions d’expérimentations en modifiant les conditions d’octroi des autorisations actuellement régies par l’ordonnance du 3 août 2016 relative à l’expérimentation de véhicules à délégation de conduite sur les voies publiques.

Dans le même temps, le texte précise que si cette conduite a provoqué un accident entraînant un dommage corporel, le titulaire de l’autorisation d’expérimentation est pénalement responsable des délits d’atteinte involontaire à la vie ou à l’intégrité de la personne « lorsqu’il est établi une faute […] dans la mise en œuvre du système de délégation de conduite ».

Sur le même sujet de la responsabilité, mais cette fois-ci civile et non pénale, la Commission européenne annonce procéder à un réexamen de la directive sur la responsabilité du fait des produits à la lumière du progrès technologique, afin d’assurer la clarté juridique pour les consommateurs et les producteurs en cas de produits défectueux.

Autres publications