Section 1. LA CONTESTATION DE LA LÉGALITÉ DES
MESURES DE PROTECTION PAR LES CONSOMMATEURS
La technique est
perçue comme une source de régulation. La place croissante prise
par les mesures techniques de protection en droit d'auteur conduit à se
demander quelles sont les conséquences pour le public tant au niveau de
l'accès aux oeuvres et à leur utilisation (2) que de l'intrusion
dans la vie privée (1).
1. Quand la technique s'immisce
dans la vie privée des utilisateurs
Traditionnellement,
dans la sphère privée de son foyer, le public peut utiliser
librement une
oeuvre sous la
réserve principale du respect des droits moraux de l'auteur. En effet,
les droits patrimoniaux de l'auteur s'effacent partiellement devant la vie
privée du public autorisé à effectuer des copies et des
représentations privées. La technique qui vient au secours du
droit à une contrepartie : elle pénètre la
sphère intime pour contrôler des actes qui, au regard du droit
positif, ne devraient pas l'être. En octobre 2001, un rapport
particulier, publié par le Ministère de la Culture
français, a été rendu par M. Chiariglioni à propos
des mesures techniques de protection. Selon lui, « pour être
efficace, la protection des contenus dans un dispositif de
consommation en réseau exige une identification univoque de la part
des fournisseurs du service ou des contenus. Cela donne lieu à
une série d'inquiétudes : la possibilité pour le
fournisseur d'accéder à toutes sortes d'informations que
l'utilisateur final ne diffuserait autrement pas [...]». On
peut comprendre que ces mesures permettent un traçage des oeuvres afin
de localiser les contrefacteurs issus des réseaux peer-to-peer,
toutefois, il semble légitime aussi de s'interroger sur la
légalité de telles pratiques.
Actuellement, du
fait de l'absence de mesures techniques intelligentes capables de permettre un
exercice normal des exceptions, le titulaire de droit est face à
l'alternative suivante : soit il verrouille son oeuvre et empêche le jeu
des exceptions, soit il la laisse « libre » et il s'expose alors aux
risques de piratage. La directive lui laisse dans un premier temps le
choix : c'est à lui de garantir l'exercice des exceptions aux
personnes qui en bénéficie. Néanmoins s'il ne permet pas
l'exercice des exceptions, l'article 6.4 du texte communautaire prévoit
que l'Etat devra intervenir pour en permettre certaines dites
d'intérêt général (al.1) et pourra
intervenir en faveur de la copie privée (al.2).
Ainsi, la logique
régissant les exceptions au droit d'auteur change ; si un membre du
public souhaite exercer une exception de la liste de l'article L122-5 du Code
de la propriété intellectuelle, il le fait librement. Cet
exercice sera contrôlé a posteriori par le juge saisi par l'ayant
droit. Le système mis en place par la directive est inverse : dans un
premier temps c'est le titulaire de droit qui, en verrouillant l'oeuvre dont il
possède les droits, contrôlera a priori l'exercice de l'exception
en le permettant ou non.
Si la protection
des oeuvres est possible, par le biais de techniques de chiffrement et de
marquage des oeuvres, celle-ci ne doit pas se faire au détriment de la
protection de la vie privée. Or, les mêmes techniques qui
permettent de marquer les oeuvres ou de les protéger contre le piratage
peuvent être utilisées pour organiser un fichage
généralisé des utilisateurs du réseau Internet, en
scrutant les habitudes de consommation des utilisateurs ; à
l'instar des «cookies»176(*), qui suivent les déplacements des
internautes, indiquent les sites qu'ils visitent et servent en
réalité à établir des profils. Le DRM, comme nous
l'avons vu précédemment, est un système logiciel qui en
conjonction avec un serveur de gestion de droits peut vérifier que les
fichiers présents sur l'ordinateur sont légalement en possession
de l'utilisateur, notamment par l'identification de ce dernier au besoin par sa
connexion systématique sur le site du prestataire dès lors qu'il
souhaite télécharger une oeuvre. Les opérations
réalisées par de tels dispositifs constituent un traitement
automatisé de données nominatives. Par conséquent elles
doivent se conformer aux dispositions de la loi « informatique et
libertés »177(*).
Le danger
éventuel178(*)
que présente les DRM179(*) au regard du droit au respect à la vie
privée a récemment été mis en exergue par le CSPLA
(Conseil supérieur de la propriété littéraire et
artistique)180(*). Les
DRM ayant pour fonction d'assurer la licitation d'usages des oeuvres fait
craindre l'apparition de technologies intrusives susceptibles de menacer la
protection de la vie privée. En effet, l'acceptation des DRM par les
utilisateurs suppose que soient clairement levées les interrogations
relatives au périmètre des données nominatives
susceptibles de faire l'objet d'un traitement informatique, c'est-à-dire
selon le rapport de M. Chantepie181(*) « une levée des interrogations
concernant les consolidations d'informations nécessaires à
l'exécution des conditions contractuelles d'utilisation des oeuvres
[...] Au-delà, la mise en place des DRM doit revêtir pour
l'utilisateur une grande transparence et ne pas rendre plus complexe
l'accès aux contenus, mais plus aisé ».
L'idée sous
jacente est de ne pas autoriser une identification et une intrusion trop
aisée sous prétexte de la mise de place d'un système de
protection des oeuvres.
Le respect de la
vie privée, de la confidentialité et des données
personnelles doivent être préservées. Dans la même
lignée que M. Chantepie, MM. Espern182(*)et Charriras183(*) indiquent que ces mesures n'ont pas la preuve de
leur efficacité et s'inquiètent des questions relatives à
la traçabilité. A ce titre nous pouvons prendre l'exemple de
l'affaire « Palladium », et les
problèmes de logiciels espions. Palladium est l'ancien nom de l'actuel
projet Next-Generation secure computing base184(*) (NGSCB) de Microsoft™,
consistant à insérer un système de cryptographie au sein
même du système d'exploitation afin de sécuriser les
transactions entre processus, entre les processus et la mémoire vive,
entre les processus et le disque dur, et entre les processus et les
périphériques d'entrée/sortie (clavier, souris, moniteur
...)185(*).
Ce principe
permettait entre autres :
- de s'assurer que
des fichiers enregistrés par une certaine application, ne puisse
être lus ou modifiés que par cette même application ou par
une autre application autorisée. Ce système est appelé
Sealed storage (ou stockage scellé) par Microsoft.
- de
protéger le système contre l'exécution de code non
autorisé. Notamment des virus, mais aussi toute application qui ne
serait pas expressément autorisée par l'utilisateur ou
l'administrateur.
Selon Microsoft,
le but est de résoudre les problèmes de sécurité
informatique et de créer des applications distribuées d'un type
nouveau où chaque composant puisse faire confiance aux autres parties du
système (logicielles ou matérielles) même si ceux-ci font
partie d'un système distant.
Les
détracteurs du projet, souvent liés au mouvement du logiciel
libre l'accusent d'être une tentative de Microsoft pour contrôler
le marché du logiciel et du matériel informatique. Certains
redoutent aussi qu'une plate-forme Palladium puisse contrôler
toutes les opérations effectuées sur le système. Cette
technologie couplée avec les nouveaux processeurs
développés par Intel186(*)obligerait les utilisateurs, les logiciels et les
matériels à s'authentifier sur un réseau public ou
privé pour pouvoir fonctionner. Il est aussi reproché à
Microsoft de vouloir utiliser son quasi-monopole sur les ordinateurs personnels
pour atteindre un monopole sur les systèmes de gestion des droits
numériques (DRM)187(*).
Les faits
démontrent aujourd'hui que les propos alarmistes tenus ne sont parfois
pas inconsidérés et que le spectre d'un contrôle
généralisé peut se manifester. Dans le même sens,
nous pouvons citer l'affaire qui a touché la société Sony
BMG188(*) : la
maison de disque proposait aux consommateurs nord-américains des CD
intégrant un DRM baptisé XCP189(*). Lorsque le CD
était lu par un ordinateur fonctionnant sous Windows, deux
phénomènes se produisaient. D'abord un logiciel copié sur
le disque dur transmettait au serveur de Sony des informations sur la musique
écoutée grâce à cet ordinateur et un
« rootkit »190(*) était installé sur le PC.
La fonction
principale du rootkit est de simplifier, voire automatiser, la
mise en place d'une ou plusieurs « portes
dérobées ». Ces portes dérobées
(utilisables en local ou à distance) permettent au pirate de
s'introduire à nouveau au coeur de la machine sans pour autant exploiter
une nouvelle fois la faille avec laquelle il a pu obtenir l'accès
frauduleux initial, qui serait tôt ou tard comblée. Certains
rootkit opèrent une suite de modifications, notamment au
niveau des commandes système, voire du noyau, permettant de cacher des
fichiers et/ou des processus.
A la
différence d'un virus informatique ou un ver de nouvelle
génération, un rootkit ne se réplique pas.
Un rootkit ne permet pas en tant que tel de s'introduire de
manière frauduleuse sur une machine saine. En revanche, certains
rootkit permettent la collecte des mots de passe qui transitent par la
machine « corrompue ». Ainsi, un rootkit peut
indirectement donner l'accès à d'autres machines. Certains sont
également livrés avec des collections
d'« exploits », ces échantillons de code
dédiés à l'exploitation d'une faille bien
déterminée. Le but est d'aider les pirates dans leur
conquête de machines encore vierges. Le rootkit automatise
l'installation d'une porte dérobée ou d'un cheval de Troie. Le
ver automatise l'exploitation d'une vulnérabilité à
travers le réseau et peut accessoirement installer la porte
dérobée une fois au coeur d'une machine. Le rootkit n'a
de raison d'être que si une faille est présente, si les conditions
sont réunies pour que son exploitation soit réussie et si elle
permet un accès avec les droits administrateur. La discrétion est
l'essence même de ce procédé : il permet à un pirate
de cacher son intrusion et sa présence sur une machine.
Ici, l'objectif de
Sony était de limiter les copies réalisées, le logiciel
prenant le contrôle du graveur de CD/DVD191(*). Ainsi, le consommateur ne
pouvait réaliser plus de trois copies de son CD192(*). L'installation d'un tel
logiciel espion peut prêter à discussion, mais en plus, il est
apparu que le logiciel créait une faille importante dans le
fonctionnement de l'ordinateur et le rendait vulnérable aux virus et aux
attaques de pirates (ceux ci pouvant se servir du rootkit pour prendre
le contrôle à distance de l'ordinateur). Il faut ajouter que ce
logiciel ne pouvait pas être désinstallé sans mettre en
péril le fonctionnement même de l'ordinateur. La class
action menée par les consommateurs a permis de leur voir attribuer
un logiciel de désinstallation, qui s'est révélé
encore plus dangereux que le logiciel espion ! La société a
donc finalement mis en place un programme d'échange des CD
concernés et fourni un nouveau logiciel de
désinstallation193(*).
Nous pouvons
constater ici que les dérives du technicisme au regard de la vie
privée ne sont pas fantaisistes, Sony soutient pourtant depuis le
début que « ce composant n'est pas malicieux et ne
compromet pas la sécurité », affirmation qui reste
très contestable. Cet exemple nous montre bien la potentialité
pernicieuse des DRM et des différents types de protection des oeuvres
qui nécessitent une authentification de la part de
l'utilisateur194(*).
Ces intrusions
dans les systèmes informatiques des utilisateurs peuvent être
considérée comme une atteinte à la liberté
fondamentale de respect de la vie privée, voir même de violation
de domicile « virtuel ». Au-delà de cette atteinte,
un des problèmes récurrents rencontrés par les
utilisateurs est la lecture même du support de l'oeuvre du fait des
mesures de protection : une véritable atteinte à la
qualité des produits a été mise à jour par les
utilisateurs, soutenus par les associations de consommation.
* 176 Un
« cookie » est une courte chaîne de
caractères déposée dans un fichier de l'ordinateur par
votre navigateur W3.
http://www.securiteinfo.com/conseils/cookies.shtml
* 177 Loi n° 78-17 du 6
Janvier 1978 relative à l'informatique, aux fichiers et aux
libertés :
http://www.cnil.fr/index.php?id=301.
* 178 D. Forest, «
Piraterie en ligne et données personnelles : une équation
insoluble ? », Expertises n° 282- juin 2004, p. 221
* 179 Digital Rights
Management ou systèmes numériques de gestion des droits
* 180 Avis du CSPLA du 2
mars 2004 (
http://www.culture.gouv.fr/culture/index-cspla.html)
* 181 P. Chantepie, Rapport
n°2003-02- (I) du Ministère de la Culture et de la communication
sur les « Mesures techniques de protection des oeuvres et
DRMS », janvier 2003, p.47
* 182 C. Espern, membre
fondateur d'EUCD Info :
http://eucd.info/
* 183 A. Charriras,
administrateur de la société civile pour l'Administration des
droits des artistes et musiciens interprètes (ADAMI).
* 184 Le
« Next-Generation Secure Computing Base » (NGSCB),
fait partie de la nouvelle architecture de
Microsoft pour l'
informatique
de confiance. Ce projet était connu sous le nom de
Palladium, le nom fut
changé en
2003, selon
Microsoft en raison de
l'existence d'un éditeur du même nom. Le changement de nom
pourrait être dû à la mauvaise publicité dont
souffrait la dénomination Palladium.
* 185
http://fr.wikipedia.org/wiki/Next-generation_secure_computing_base
* 186
http://www.intel.com/cd/corporate/europe/emea/fra/254695.htm
* 187 Microsoft a
d'ailleurs annoncé avoir pour intention d'instaurer la
« gestion numérique des droits » sur tous les
ordinateurs de la planète.
* 188
http://www.sony.fr/
* 189 Ce dispositif
baptisé XCP Technology, est en fait utilisé par Firts4Internet
pour empêcher l'utilisateur de désinstaller le système de
gestion des DRM de sa machine :
http://www.atelier.fr/securite/sony,gestion,drm,quelque,peu,litigieuse-30749-17.html
* 190
http://fr.wikipedia.org/wiki/Rootkit
* 191 Texte en annexe
n°6
* 192 Tout est parti d'un
billet publié par Mark Russinovich, de la firme Sysinternals, sur son
blog d'entreprise. En essayant l'un de ses logiciels dédiés
à la recherche de programmes malveillants, il s'est aperçu de la
présence d'un « rootkit » sur sa machine de test et
a cherché à savoir d'où il pouvait bien provenir. En
analysant le « rootkit » trouvé sur sa machine, Mark
Russinovich s'est rendu compte qu'il portait la marque de la
société Firts4Internet, éditeur, entre autres, de la
solution de gestion des DRM ( Digital Rights Management )
utilisée par Sony pour protéger ses CD contre la copie.
Russinovich s'est justement souvenu qu'il avait récemment fait
l'acquisition d'un CD publié par le géant japonais peu de temps
auparavant. L'affaire éclata suite à cette découverte.
* 193
http://standblog.org/blog/2005/11/14/93114500-drm-sony-bmg-chronique-d-un-massacre
et
http://www.zdnet.fr/actualites/informatique/0,39040745,39215350,00.htm
* 194 Voir le dossier de
presse MIDEM, « 10 idées fausses sur la licence
globale », lundi 23 janvier 2006. Avec la participation de l'ADAMI et
de la SPEDIDAM.
| 
