La gestion des DRM en perspective

§2 - La protection des données personnelles en perspective

La législation française repose sur le socle de la loi Informatique et Libertés du 6 janvier 1978. Cependant, celle-ci doit se mettre en accord avec les différentes dispositions de la Directive du 24 octobre 1995^94(*) qui aurait déjà dû être transposée, dans le délai imparti, en droit français dans la mesure où, à la différence des règlements directement applicables, la directive lie les Etats membres quant au résultat à atteindre tout en laissant aux instances nationales la compétence quant à la forme et aux moyens.^95(*) De même, la directive sur le commerce électronique du 8 juin 2000 et une des directives Paquet Telecom (2002/58) doivent faire l'objet d'une transposition pour être conforme aux exigences européenne.

A - Le droit à la protection des données personnelles

En février 2003, l'EUCD.INFO soulignait devant le CSPLA que « les systèmes électroniques de gestion des droits (« DRM ») ne sauraient avoir pour objet ou pour effet de permettre à des organismes privés d'opérer des traitements automatisés de données personnelles en vue de l'identification d'éventuelles infractions au droit d'auteur et aux droits voisins. Conformément aux dispositions d'ordre public de la loi dite « informatique et libertés », des personnes morales de droit privé non investies d'une mission de service public ne sauraient en aucun cas se substituer à la police ou à la justice en s'arrogeant des pouvoirs d'enquête qui relèvent de la compétence exclusive de l'Etat ».^96(*)

En cela, il s'appuyait sur l'article 30 de la loi Informatique et Libertés du 6 janvier 1978 qui indique que « sauf dispositions législatives contraires, les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ainsi que, sur avis conforme de la commission nationale , les personnes morales gérant un service public peuvent seules procéder au traitement automatisé des informations nominatives concernant les infractions, condamnations ou mesures de sûreté (...) ».^97(*) Une des autres difficultés inhérentes à la mise en place d'un système de GDN étant l'adéquation et l'équilibre à trouver pour le respect de la vie privée et la protection des données personnelles.

On notera ce que Pamela Samuelson entend par DRM : « An alternative phrase for DRM is «digital restrictions management,» given its use by copyright industries to restrict user rights »^98(*) ce qui nous donnera à réfléchir sur les implications en termes de gestion et de protection de la personne. Les alliances entre industriels, nécessaires pour faire émerger des standards et de l'interopérabilité notamment, doivent être regardées avec circonspection.^99(*) Car derrière celles-ci, et derrière les DRM, se profile des technologies « that will allow more perfect control over access to and use of digital files. The same capabilities that enable more perfect control also implicate the privacy interests of users of information goods (...). They also create the potential for vastly increased collection of information about individuals' intellectual habits and preferences. These technologies therefore affect both spatial and informational dimensions of the privacy that individuals customarily have enjoyed in their intellectual activity ».^100(*)

Ce qui est gênant tant d'un point de vue juridique et éthique est le fait que les technologies de GDN, puissent créer des enregistrements de données qui même si elles sont généralement faites automatiquement via des « robots » sans aucune intervention humaine sont susceptibles de menacer le respect de la vie privée des utilisateurs. Tout spécialement si ces données recueillies sont accessibles à d'autres et qu'elles peuvent être utilisées à des fins marketing et/ou que ces données, comme le précise Julie Cohen, peuvent être « gathered through monitoring [and] later be used to generate detailed profiles of users' revealed intellectual preferences. The information provider can use the resulting profiles to market additional information goods to users, or can sell it to third parties who may use it for a wide variety of other purposes ».^101(*)

D'ailleurs, la Commission Européenne rappelle son attachement à ces valeurs en expliquant que si le but premier des mesures de protection techniques est de préserver les droits de propriété intellectuelle et les droits économiques associés, il n'en reste pas moins que : « However, in so far as DRMs may involve the collection and further processing of personal data in order to carry out the essential function of protecting the works, or in so far as they may also allow content owners to closely monitor and track the use of digital content, consumer organizations, privacy advocates, national supervisory authorities and the Commission are also concerned about DRMs affecting the fundamental rights to privacy and personal data as guaranteed by the EU Charter on fundamental rights^102(*) and the EU data protection directives ».^103(*)

Il est certain que l'utilisation des DRM doit être tout à fait compatible et en lien direct avec les principes issus de la Directive 95/46.^104(*)

Le CSPLA a rendu un rapport en juin 2003 dans lequel il pointe les risques liés à la gestion des DRM. On retiendra notamment qu'ils : « pourraient permettre "de connaître de façon très précise des pans entiers de la vie privée^105(*) des individus"^106(*), "de collecter des données allant au-delà de ce qui est simplement nécessaire à l'exercice des droits de la propriété littéraire et artistique", d'être "couplées avec [les informations] rassemblées sur d'autres sites grâce à des systèmes d'identifiants uniques, tel que celui du système .NET Passport développé par Microsoft", et poseraient des problèmes en cas de rachat de sociétés, permettant à ces dernières de constituer des "fichiers portant sur un grand nombre de caractéristique ». ^107(*)

« La technologie est neutre mais l'usage qu'on en fait ne l'est pas et doit donc être guidé par l'éthique et pas uniquement par des intérêts économiques. Le déploiement massif de mesures techniques de protection « nouvelle génération », communiquant avec des serveurs centraux ou s'appuyant sur des étiquettes intelligentes (RFID), présente des risques conséquents d'atteinte aux libertés individuelles (comme la CNIL l'a d'ailleurs relevé) ».^108(*)

A l'inverse et l'on ne s'en étonnera pas, les ayants droits et leurs partenaires estiment que les DRM ne posent pas de problèmes en terme d'atteinte à la vie privée et on peut s'étonner que le CSPLA lui donnent raison lorsqu'il indique dans son avis du 26 juin 2003 que « ces systèmes s'inscrivent dans le cadre général du commerce électronique et des règles, y compris pénales, applicables en matière de protection des données personnelles ».^109(*)

Plus encore, dans un avis du 2 mars 2004, le CSPLA^110(*) s'il est conscient des risques potentiels liés à la « collecte et la consolidation de données précises sur la consommation culturelle des intéressés et leur utilisation éventuelle à des fins non souhaitées » indique qu'en la matière l'appréciation de ces risques est malaisée... et inhérent aux technologies émergentes...sont communs dans le cybermonde !

Cet avis est intéressant dans la mesure où il va systématiquement demander et/ou renforcer les moyens de luttes contre le piratage et les échanges illicites d'oeuvres entre utilisateurs en indiquant que :

- les règles d'administration de la preuve dans le procès pénal ne font pas obstacle au lancement de requêtes sur l'Internet par les autorités ou les ayants droit (notamment par le biais des agents assermentés de l'article L. 331-2 du code de la propriété intellectuelle) aux fins de constater les offres de fichiers effectuées en violation des droits de propriété littéraire et artistique.

- [si] le caractère seulement indirectement nominatif des adresses IP^111(*), (...) ne permet d'accéder à l'identité réelle des intéressés qu'après rapprochement avec les données de connexion détenues par les opérateurs techniques, dans le cadre d'une procédure judiciaire, [Il] insiste sur la nécessité pour les ayants droit, eu égard au caractère massif de la contrefaçon en ligne, de pouvoir recourir à de tels traitements, dans un but tant préventif que répressif. [Le CSPLA] souhaite que le Parlement trouve (...) une solution permettant aux titulaires de droits et aux organismes agissant pour leur compte de procéder à la constitution de tels fichiers, dans le seul but d'assurer la protection de ces droits [et] d'adopter une formulation qui permette sans ambiguïté de le regarder comme incluant, d'une part, parmi les finalités de la collecte, la prévention et la répression des violations des droits de propriété littéraire et artistique, d'autre part, au nombre des personnes visées, les organismes professionnels et les sociétés de perception et de répartition des droits, lorsqu'ils agissent pour le compte des ayants droit.

Le projet de loi réformant la Loi Informatique et libertés^112(*) adopté par les députés le 29 avril dernier semble aller dans ce sens lorsqu'il indique : « « Art. 9. - Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :

(...) « 3° (nouveau) Les personnes morales victimes d'infractions, pour les stricts besoins de la lutte contre la fraude et dans les conditions prévues par la loi ».^113(*) Ainsi, la solution demandée par le CPSLA devrait permettre par exemple par rapport au téléchargement illégal de musique sur Internet d'autoriser les personnes morales, donc les sociétés de droit d'auteur « victimes de la contrefaçon, à constituer leurs propres fichiers d'infractions afin de collecter des données personnelles, comme les adresses IP ».^114(*) On attendra la confirmation de cette mesure lors de l'examen du texte par les sénateurs en 2^ème lecture.

- S'agissant enfin de l'identification des contrefacteurs, le Conseil supérieur souligne la nécessité d'une mise en oeuvre effective de l'obligation de conservation, par les opérateurs de télécommunications et les prestataires de services en ligne, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, des données permettant une telle identification (...) S'agissant plus particulièrement des données de connexion, le Conseil supérieur estime que, eu égard notamment aux garanties dont est entourée leur conservation, le délai de celle-ci ne devrait pas, dans l'état actuel de la législation, être inférieur à un an, (...). Un allongement, pour certaines catégories de données ;

- sous certaines conditions, l'engagement de la responsabilité des prestataires intermédiaires de services en ligne lorsqu'ils s'abstiennent de prendre les mesures permettant de faire cesser les activités illicites dont ils ont connaissance, prévoient la possibilité, pour les autorités administratives ou judiciaires compétentes, d'exiger de ces mêmes prestataires qu'ils mettent un terme à de telles activités, notamment en retirant les contenus litigieux ou en les rendant inaccessibles, et invitent les Etats membres à mettre en place des recours juridictionnels efficaces, y compris en référé.^115(*)

A la lecture de cet avis on pourra s'interroger sur le degré de liberté laissé aux utilisateurs des réseaux et à la légitimité réelle de cet arsenal de mesures répressives et attentatoire à la liberté et au respect de la vie privée. Le cadre propice à un épanouissement serein et équilibré du commerce électronique n'est pas encore clairement fixé !! Plus globalement, on s'interrogera sur les enjeux existant entre droit et technique car à terme, comme le précise Dan L Burke, « content owners may be relatively unconcerned about obtaining or enforcing intellectual property rights as such rights have previously existed. Where access and use can be controlled by built-in technological restrictions, regulation of the content via legal sanctions becomes far less attractive. Indeed, content owners may prefer, rather than relying on copyright law to prohibit certain statutorily determined uses of the work, to rely on anti-circumvention laws to prohibit tampering with the technological controls, leaving the technology to prohibit whichever uses the content owner unilaterally chooses. Such anti-circumvention laws, acting as an adjunct to technological controls, confer upon content owners a degree of control never attainable under a regime of traditional copyright ».^116(*)

A la suite de l'interrogation que l'on posait dans le cadre de l'adresse IP^117(*), on s'intéressera tout particulièrement aux suites données dans le cadre de la lutte contre le piratage à l'amendement n°8^118(*) qui semblerait permettre aux « personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion" [d'] effectuer la collecte de données personnelles ». Ainsi, si cet amendement était retenu, c'est la possibilité ouverte, pour les sociétés de gestion des droits d'auteurs de se servir des adresses IP (indirectement personnelle) pour obtenir des informations sur les personnes opérant sur les réseaux et tout particulièrement dans le cadre problématique du P2P.^119(*)

* ⁹⁴ On pourra lire, sur la transposition par l'Allemagne : Thomas Ramsauer, Germany's Copyright Law on the Edge of the Information Age, e.Copyright Bulletin, December 2003, 9p.

* ⁹⁵ Denys Simon, Le système juridique communautaire, 2001, PUF, p. 325.

* ⁹⁶ EUCD.INFO, Systèmes électroniques de gestion des droits («DRM») et protection des données personnelles, 7 février 2003, http://eucd.info/

* ⁹⁷ CNIL, Loi Informatique et Libertés, Article 30, www.cnil.fr/index.php?id=301#Article30

* ⁹⁸ Pamela Samuelson, DRM {AND, OR, VS.} THE LAW, Communications of the ACM, April 2003/Vol. 46, No. 4 p.42. www.sims.berkeley.edu/~pam/papers/acm_v46_p41.pdf

* ⁹⁹ Notamment l'initiative de Microsoft et de son nouveau système rebaptisé Longhorn, le Next Generation Secure Computing Base www.theregister.co.uk/content/4/25852.html et la Trusted Computing Platform Alliance (TCPA) qui a pour but de mettre en place des systèmes de DRM au niveau de l'infrastructure même.

* ¹⁰⁰ Julie E. Cohen, DRM and Privacy, 2003, The Berkeley Technology Law Journal, p. 1.

https://www.law.berkeley.edu/institutes/bclt/drm/papers/cohen-drmandprivacy-btlj2003.pdf

* 101 Ibid, p. 11. Dans le même sens: « Too many businesses, including many of the leading-edge entrepreneurial companies emerging on the Internet, have not focused enough on the value of customer profiles. The winners and losers of this new era will be determined by who has rights to on-line customer profiles» and «There will eventually be acquisitions that are based on consumer data, where the primary asset that's being bought is the consumer data. (...) Consumer data right now is the currency of e-commerce in a lot of ways. Those are valuable customers because they've shown that they're buyers, and they've bought from a competing store. (...) Names in a database save a company from spending marketing dollars to acquire a customer - usually about $100 per customer ». HALPERN and HARMON,

www.datenschutz-berlin.de/doc/eu/gruppe29/wp37_en/wp37en04.htm

* ¹⁰² L'article 8 de la Charte des droits fondamentaux rappelle le principe de la protection des données à caractère personnel. 18/12/2000, www.info-europe.fr/doc02/223/g000d992.pdf

* ¹⁰³ Commission Européenne, DIGITAL RIGHTS Background, Systems, Assessment, 14.02.2002, p. 14.

http://europa.eu.int/information_society/newsroom/documents/drm_workingdoc.pdf

* ¹⁰⁴ A cet égard on notera que le considérant 57 de la Directive 2001/29/CE indique : « Les systèmes relatifs à l'information sur le régime des droits susmentionnés peuvent aussi, selon leur conception, traiter des données à caractère personnel relatives aux habitudes de consommation des particuliers pour ce qui est des objets protégés et permettre l'observation des comportements en ligne. Ces moyens techniques doivent, dans leurs fonctions techniques, incorporer les principes de protection de la vie privée, conformément à la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

http://europa.eu.int/smartapi/cgi/sga_doc?smartapi!celexplus!prod!CELEXnumdoc&lg=fr&numdoc=32001L0029

* ¹⁰⁵ On sera également conscient de la problématique liant données personnelles et adresse IP dès lors qu'il convient de s'accorder sur le fait que « l'adresse IP de l'internaute peut être qualifiée de donnée indirectement personnelle ». Cité in Sophie Lalande, L'adresse IP de votre ordinateur, une donnée personnelle relevant du régime de protection du régime communautaire de protection ?, p. 10. www.droit-tic.com. La CNIL considérant à ce titre que « seules les personnes publiques ou les personnes privées chargées d'un service public peuvent, en vertu de l'article 30 de la loi du 6 janvier 1978, constituer des fichiers en contenant ». Mais, le CSPLA souhaite que le Parlement trouve, dans le cadre de la réforme de la loi du 6 janvier 1978, et dans le respect de la directive du 24 octobre 1995, une solution permettant aux sociétés de gestion et aux ayants droit de procéder à la constitution de tels fichiers dans le seul but d'assurer la protection de ces droits.

www.culture.gouv.fr/culture/cspla/avislibertes.htm

* ¹⁰⁶ Même « connaître avec précision les contenus eux-mêmes, y compris, s'agissant notamment des oeuvres écrites, pour ce qui concerne les aspects sensibles de la vie privée énumérés à l'article 31 de la loi du 6 janvier 1978 : opinions politiques ou philosophiques, religion, appartenance syndicale, moeurs des personnes ». CSPLA, Rapport de la commission sur la propriété littéraire et artistique et les libertés individuelles, 26 Juin 2003, p. 6. www.culture.gouv.fr/culture/cspla/raplibertesindiv.pdf

* ¹⁰⁷ Ibid, p.6.

* ¹⁰⁸ Christophe Espern, Interopérabilité : l'Arlésienne du DRM, http://eucd.info/ddm.fr.php . On étudiera ces aspects, en partulier dans le cadre de la Directive IP Enforcement.

* ¹⁰⁹ CSPLA, Avis du 26 juin 2003, www.culture.gouv.fr/culture/cspla/avislibertes.htm

* ¹¹⁰ CSPLA, AVIS N° 2004-1 relatif à la propriété littéraire et aux libertés individuelles, 2 mars 2004, www.culture.gouv.fr/culture/cspla/avis04-1.htm

* ¹¹¹ A cet égard, la CNIL indique que conformément à l'article 30 de la Loi Informatique Libertés du 6 janvier 1978, seules les personnes publiques ou les personnes privées chargées d'un service public peuvent procéder à de tels traitements aux fins de prévention et de répression des infractions

* ¹¹² Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. http://www.assemblee-nationale.fr/12/projets/pl0762.asp

* ¹¹³ Ibid

* ¹¹⁴ Philippe Crouzillacq, Les représentants des artistes autorisés à ficher les pirates, 3/05/2004, www.01net.com

* ¹¹⁵ CSPLA, AVIS N° 2004-1 relatif à la propriété littéraire et aux libertés individuelles, 2 mars 2004, www.culture.gouv.fr/culture/cspla/avis04-1.htm

* ¹¹⁶ Dan L. Burk Anti-Circumvention Misuse, 2002, p. 10

http://intel.si.umich.edu/tprc/papers/2002/29/misuse.pdf

* ¹¹⁷ Note 105, p. 29.

* ¹¹⁸ http://www.assemblee-nat.fr/12/rapports/r1537-01.asp

* ¹¹⁹ Arnaud Devillard, Christophe Pallez (Cnil) : « Nous aurons la possibilité de donner des amendes » 19/04/2004, www.01net.com et Christophe Lagane, La loi informatique et libertés en cours de refonte, 14 avril 2004, http://www.vnunet.fr