lundi 6 avril 2020    || Inscription
BanniereNews
 
 
La loi relative aux droits d´auteur et aux droits voisins dans la société de l´information (connue sous l´acronyme DADVSI) est désormais applicable après validation et censure du Conseil Constitutionnel. Les débats entre différentes associations et le gouvernement ont été pour le moins passionnés, notamment sur les questions culturelles et artistiques et de nombreux sites web se sont développés sur ces importants sujets de société. Garance Mathias, avocate, examine l´impact de cette loi sur le travail des Responsables de la Sécurité des Systèmes d´Information (RSSI).

dans la société de l´information (« DADVSI ») a pour principal objet d´adapter le régime de la propriété littéraire et artistique aux nouvelles technologies de l´information et de la communication. Cette loi a aussi pour objectif de moderniser le régime du droit d´auteur Philippe Touitou, Avocat au Barreau de Paris, nous propose une analyse approfondie de cette loi dans cet article.

Cette interview s´inscrit dans la série des interviews réalisés par Mag Securs sur ce sujet. Vous pouvez également consulter les interviews :

- de l´association EUCD représentée par Christophe Espern qui a mené un combat acharné contre cette loi Selon EUCD, la loi DADVSI gênera aussi les RSSI
- de Maître Philippe Touitou : "Il faut relativiser l´impact de la DADVSI sur la sécurité des SI"
- de Maître Isabelle Renard, "la loi DADVSI renforce la responsabilité des entreprises"
- de Maître Laurence Tellier, Cabinet Alain Bensoussan : "la loi DADVSI accroît la responsabilité des RSSI"


IMG/jpg/Garance-2.jpg



Mag Securs : Pouvez-vous nous résumer ce que sont les grandes lignes de cette nouvelle loi qui vont concerner les RSSI et les professionnels de la sécurité des systèmes d´information ?

Garance Mathias : C´est un texte complexe qui a donné lieu jusqu´à sa publication au Journal Officiel à de vifs débats qui ne sont certainement pas terminés.

De prime abord, cette loi transpose la directive européenne de 2001 relative aux droits d´auteur et aux droits voisins dans la société de l´information.

Les principales grandes lignes sont principalement les suivantes :

- transposition du test dit des trois étapes,
- insertion de nouvelles exceptions au droit d´auteur concernant la libre divulgation de l´?uvre
- définition d´un cadre pour la mise en ?uvre des mesures techniques de protection et de l´intéropérabilité (création de l´autorité de régulation des mesures techniques)
- création d´un régime pénal de lutte contre la contrefaçon sur Internet tant concernant les éditeurs que les utilisateurs

Il convient d´aborder successivement ces points.

- La transposition en droit français du test dit des trois étapes et les exceptions au droit d´auteur.

L´article L 122-5 du Code de la Propriété Intellectuelle (CPI) pose l´exception au principe du respect du droit d´auteur, celui de la libre divulgation de l´?uvre protégée par le droit d´auteur sans son autorisation en énumérant les exceptions, notamment :
- les représentations privées et gratuites effectuées exclusivement dans le cercle de famille (...),
- l´enseignement, la recherche,
- l´exploitation dans les établissements accueillant les personnes présentant un handicap,
- les reproductions destinées à l´archivage des ?uvres par les musées, bibliothèques et les services d´archives, etc.

Néanmoins, le législateur a introduit une limite importante aux exceptions au droit d´auteur : seules les exploitations énumérées au sein de cet article (1ère étape), ne portant pas atteinte à l´exploitation normale de l´?uvre (2ème étape), ni ne causent un préjudice injustifié aux intérêts légitimes de l´auteur (3ème étape), pourront s´effectuer sans autorisation de l´auteur.

Force est de constater que ce texte est un facteur d´incertitude puisqu´il permet, en pratique, de remettre en cause les exceptions prévues à l´article L 122-5 du CPI : la loi ne donne aucune précision, définition concernant la notion d´ « exploitation normale de l´?uvre ».

Le Conseil Constitutionnel a, pourtant, malgré de nombreuses critiques, validé le test des 3 étapes.

- La définition d´un cadre pour la mise en ?uvre des mesures techniques de protection et exigence d´intéropérabilité

Il existe de nombreux dispositifs technologiques permettant de protéger les ?uvres des auteurs.
Les systèmes techniques ne connaissent pas les limites posées par le droit d´auteur : ces systèmes sont susceptibles de « cadenasser », « verrouiller », bloquer l´accès à des ?uvres ou de bloquer l´exercice normal d´une exception reconnue par le droit d´auteur (copie privée..).

Il était donc indispensable de préciser légalement les limites de la protection technique : le bien fondé des mesures techniques pour sécuriser la transmission et la distribution de contenus

De manière générale, les mesures techniques contiennent soit des dispositifs informatifs (par exemple des données fournies permettant l´identification de l´?uvre, nom de l´auteur, etc.) , soit des dispositifs coercitifs (objectif de contrôler les ?uvres sujettes au droit d´auteur - code d´accès, etc.)

La cryptologie peut également permettre de bloquer l´accès à des ?uvres protégées.

Plus précisément, les mesures techniques de protection sont définies par l´article L 331-5 :
« Les mesures techniques efficaces destinées à empêcher ou à limiter les utilisations non autorisées par les titulaires d´un droit d´auteur ou d´un droit voisin du droit d´auteur d´une oeuvre, autre qu´un logiciel, d´une interprétation, d´un phonogramme, d´un vidéogramme ou d´un programme sont protégées dans les conditions prévues au présent titre. On entend par mesure technique au sens du premier alinéa toute technologie, dispositif, composant qui, dans le cadre normal de son fonctionnement, accomplit la fonction prévue par cet alinéa. Ces mesures techniques sont réputées efficaces lorsqu´une utilisation visée au même alinéa est contrôlée par les titulaires de droits grâce à l´application d´un code d´accès, d´un procédé de protection tel que le cryptage, le brouillage ou toute autre transformation de l´objet de la protection ou d´un mécanisme de contrôle de la copie qui atteint cet objectif de protection.(...) »

Sur ce débat polémique, le Conseil Constitutionnel a décidé que « Les mesures techniques de protection et d´information (...) devront être entendues comme n´interdisant pas aux auteurs et aux titulaires de droits voisins de recourir à des mesures techniques de protection limitant le bénéfice de l´exception à une copie unique, voire faisant obstacle à toute copie, dans les cas particuliers où une telle solution serait commandée par la nécessité d´assurer l´exploitation normale de l´?uvre ou par celle de prévenir un préjudice injustifié à leurs intérêts légitimes. »
En d´autres termes, il appartiendra à l´auteur d´avoir une appréciation au cas par cas, voire subjective, de la divulgation des ?uvres. De nombreux débats et controverses vont donc voir le jour...

Le projet de loi, avant la décision du Conseil Constitutionnel, prévoyait une cause d´exonération de la responsabilité pénale à condition que les atteintes aux systèmes de protection aient été réalisées à des fins d´intéropérabilité.

Or, curieusement, la notion d´intéropérabilité n´a pas été définie. Comme le souhaitaient les auteurs de la saisine, le Conseil Constitutionnel n´a pas manqué de censurer cette absence de définition comme étant une atteinte au principe de légalité des délits et des peines.

Cependant, les méthodes, moyens et procédés de cryptage sont volontairement exclus du champ d´application de la loi et ne sont, par conséquent, pas protégés par des sanctions pénales.

- Le domaine de l´incrimination pénale : nouvel article L 335-2-1 du CPI
Le nouvel article L. 335-2-1 du CPI (« Est puni de trois ans d´emprisonnement et de 300 000 EUR d´amende le fait :D´éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d ´oeuvres ou d´objets protégés ») vise les éditeurs, exploitants qui mettent à disposition du public des ?uvres protégées sans autorisation de l´auteur.
Mag Securs : Concrètement, cette loi change-t-elle la responsabilité des RSSI et des entreprises ? En quoi et comment ?

Le RSSI doit notamment garantir la sécurité logique et physique ainsi que la continuité opérationnelle du système d´information dans son ensemble.
Il assure un rôle de conseil, d´assistance, d´information, de formation, d´alerte et effectue un travail de veille technologique et réglementaire sur son domaine et propose des évolutions qu´il juge nécessaires.

Force est de constater que les éditeurs, fournisseurs ainsi que les exploitants sont, en particulier, concernés par ce texte.

Le RSSI ne devra notamment pas oublier :

- de déclarer auprès de la CNIL les mesures techniques incluant des systèmes de traitement nominatif des données,
- de soumettre au service de l´Etat en charge de la sécurité des systèmes d´information, en tant qu´éditeur, fournisseur, les spécifications, codes sources, bibliothèques, en cas de l´importation, du transfert depuis un Etat membre de la Communauté, la fourniture, l´édition de logiciels qui traitent des ?uvres protégées et intégrant des mesures techniques permettant le contrôle à distance de fonctionnalités ou de l´accès à des données personnelles,
- de respecter la réglementation concernant la cryptologie.

Toutefois, comme nous l´avons précédemment mentionné, le nouveau délit vise particulièrement les éditeurs et exploitants qui propose des logiciels PtoP n´incluant pas des mesures techniques ainsi que la possibilité de les gérer.

Les sanctions sont dures: trois ans d´emprisonnement et de 300 000 EUR d´amende.
Cette nouvelle incrimination va donc obliger les éditeurs à auditer, revoir leurs systèmes ....

De manière générale, le RSSI risque d´être confronté à l´application du test des 3 étapes et la détermination de « l´exploitation normale d´une ?uvre » donc de la liceité d´une utilisation dans le cadre des exceptions....

Seule la pratique pourra tenter de lever cette zone de forte insécurité juridique, voir judiciaire.

La DADVSI risque de restreindre le développement de l´Opens source

Mag Securs : A-t-elle un impact sur le travail des éditeurs de logiciels, ou les communautés de développement de logiciels libres (open-source) ?

Garance Mathias : La loi renforce la lutte contre la contrefaçon en visant, d´une part, les éditeurs de logiciels PtoP. Force est de constater que ce délit dont les sanctions sont importantes risque de restreindre la création intellectuelle du libre.

Une autre innovation de la loi est la création d´une nouvelle autorité - l´autorité de régulation des mesures techniques - qui a pour vocation d´être saisie par les professionnels (éditeurs, fabricant, exploitant) pour obtenir des « informations essentielles » de la part des titulaires des mesures de protection technique.
Ces « informations essentielles » permettent de mettre en ?uvre l´intéropérabilité et leur divulgation devra lieu à indemnisation de leurs auteurs.
Les données fournies (codes, bibliothèques, etc.) sont techniques, complexes et peuvent être protégés par le secret de fabrique ce qui justifie, selon le Conseil Constitutionnel, l´accès aux seuls professionnels.

Néanmoins, l´article L 331-7 du CPI dispose que « le titulaire des droits sur la mesure technique ne peut imposer au bénéficiaire de renoncer à la publication du code source et de la documentation technique de son logiciel indépendant et interopérant que s´il apporte la preuve que celle-ci aurait pour effet de porter gravement atteinte à la sécurité et à l´efficacité de ladite mesure technique. »

Cette disposition va permettre de tenter de préserver les droits et intérêts des éditeurs de logiciels libres dans le domaine de l´utilisation des ?uvres de l´esprit. Néanmoins, il reste à la pratique de tenter de définir les usages licites ou non ....

Pour les utilisateurs privés, seule la pratique judiciaire pourra clarifier la position du législateur

Mag Securs : Cette loi a-t-elle un impact pour les utilisateurs privés de logiciels ?

Garance Mathias : La volonté du législateur s´est portée, d´autre part, sur le fait de sanctionner les utilisateurs des logiciels PtoP.
Seule l´utilisation des logiciels est sanctionnée et non pas les autres modes de diffusion des ?uvres (forums, etc.).

Le Conseil Constitutionnel a censuré, pour atteinte au principe de légalité des délits et des peines, le fait que l´utilisateur soit passible d´une contravention : l´internaute peut être passible du délit de contrefaçon pour l´utilisation d´un logiciel.

Il convient d´attendre la pratique judiciaire de ce texte ......

Mag Securs : Faut-il y voir une avancée ou un frein en matière de sécurité des systèmes d´information ?

Garance Mathias : Les mesures techniques de protection sont validées, les sanctions sont sévères, l´édition de logiciels PtoP est réduite... Seule la cryptolgie est tolérée.

Particulièrement, le régime de la copie privée permet d´illustrer les incertitudes liées à l´application de ce texte et ses difficultés d´application.

Le régime de l´exception de copie privée est strict : l´Autorité fixera un nombre minimal de copies autorisées dans le cadre de cette exception ainsi que la possibilité d´accéder à source de la copie.

Toutefois comme nous l´avons vu précédemment, le bénéfice de cette exception ne doit pas porter atteinte à l´exploitation normale de l´?uvre, ni causer un préjudice injustifié aux auteurs (test des 3 étapes). De manière pragmatique, l´exception de copie privée pourra être réduite à néant.

Comment concilier l´exploitation des mesures techniques de protection avec la faculté d´effectuer des copies pour un usage personnel tout en respectant les intérêts de l´auteur ?
En d´autres termes, quels sont les types d´exploitations « normales » ou « autorisées » pouvant être divulgués, reproduits, sans autorisation de l´auteur ou des ayants-droits -incluant des mesures techniques ?

Le débat ne fait que commencer ...



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI