Newsletter Contentieux Informatique et IT n°9

• Précisions de la CJUE en matière de recueil des données personnelles pour lutter contre les atteintes aux droits de propriété intellectuelle

• Saisie-contrefaçon de logiciel : précision quant aux modes de preuve admissibles en cas de demande de mainlevée

• Point final au contentieux opposant Google à Oracle à raison de la prétendue violation de copyright portant sur des codes sources

• La commission supérieure du numérique et des postes sollicite la création d’un parquet national « cyber »

• Approbation en première lecture à l’Assemblée Nationale du projet de loi relatif à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique

• Publication par la Commission européenne de sa proposition de règlement établissant les règles harmonisées sur l’intelligence artificielle.

Précisions de la CJUE en matière de recueil des données personnelles pour lutter contre les atteintes aux droits de propriété intellectuelle

CJUE 17 juin 2021, aff. C‑597/19

Les faits : une société détentrice des droits sur un certain nombre de films pornographiques avait constaté des téléchargements illégaux de ces derniers. Elle a ainsi récolté les adresses IP concernées et sollicité des fournisseurs d’accès à internet qu’ils lui communiquent les données d’identification correspondantes. Saisie du litige, la juridiction belge a posé à la CJUE des questions préjudicielles portant sur la possibilité pour les titulaires de droits qui n’utilisent pas leurs droits pour exploiter les œuvres (communément appelés les « copyrights trolls », qui réclament des indemnités à raison des violations de droits qui ne leur appartiennent pas, qualité que la société détentrice des droits était susceptible de recouvrir) de se prévaloir des mesures prévues par la directive 2004/48/CE du 29 avril 2004 relatives au respect des droits de propriété intellectuelle. Elle s’interrogeait également sur la licéité du recueil des adresses IP et de la demande d’information de la société au regard du droit de l’Union sur la protection des données personnelles.

La réponse de la Cour : la CJUE qualifie en premier lieu le partage en « peer to peer » (i.e. par la mise à disposition par une multitude d’internautes connectés, de segments de fichiers inexploitables pris isolément mais qui permettent de visualiser l’œuvre complète une fois réunis) de « communication au public », sans qu’il soit nécessaire d’établir un seuil minimal. Le fait que la récolte des segments se fasse à l’insu de l’utilisateur (le logiciel téléchargeant le torrent automatiquement) est sans influence pour retenir la responsabilité des utilisateurs, qui doivent être considérés comme agissant en pleine connaissance de leur comportement et des conséquences que celui-ci peut avoir.

Ensuite, la CJUE considère que les titulaires de droits qui n’utilisent pas leurs droits peuvent valablement réclamer des indemnités en cas de violation des droits dès lors que cela permet de poursuivre les objectifs de la directive 2004/48/CE du 29 avril 2004. Les demandes abusives doivent cependant être rejetées.

Enfin, concernant le recueil des adresses IP, la CJUE considère que cette pratique permet de poursuivre un intérêt légitime et qu’elle est nécessaire pour y parvenir, le règlement 2016/679 permettant d’assurer un juste équilibre entre les intérêts en présence. La CJUE note également que le RGPD ne s’oppose pas à l’enregistrement systématique, par le titulaire de droit de propriété intellectuelle ainsi que par un tiers pour son compte, d’adresses IP d’utilisateurs de réseau en « peer to peer », qui ont participé à des activités contrefaisantes, ni à la communication des noms afin d’introduire un recours indemnitaire, à condition que les demandes en ce sens soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale.

Saisie-contrefaçon de logiciel : précision quant aux modes de preuve admissibles en cas de demande de mainlevée

Cass. com., 7 juillet 2021 (20-22.048)

Les faits : une société reprochait à une autre la contrefaçon d’un logiciel de supervision d’automatisme et a obtenu, sur le fondement des articles L. 332-1 et L. 332-4 du code de la propriété intellectuelle, sur requête, la désignation d’un huissier de justice avec pour mission de procéder à des opérations de saisie-contrefaçon dans les locaux de cette société.

La société visée par la mesure de saisie-contrefaçon avait obtenu la mainlevée de la mesure.

La société s’estimant victime de la contrefaçon reprochait alors au juge d’appel d’avoir prononcé la mainlevée de la mesure aux motifs qu’elle n’aurait présenté aucun élément objectif et vérifiable à l’appui de ses soupçons de contrefaçon de son logiciel, la capture écran du site internet étant, pour le juge d’appel, dépourvue de force probante.

La décision : non convaincue par cette motivation, la Cour de cassation casse l’arrêt soumis à son examen au motif que les articles L. 332-2 et L. 332-4 alinéa 1^er du code de la propriété intellectuelle permettent de solliciter une mesure de saisie-contrefaçon de logiciel, laquelle peut être prouvée par tout moyen. La Cour de cassation reconnaît donc la force probante des captures écran d’un site internet et, plus généralement, elle énonce le principe selon lequel le juge saisi d’une demande de mainlevée est tenu d’apprécier la réalité des allégations de contrefaçon notamment au regard des éléments de preuve qui ont été recueillis durant les opérations de saisies.

Point final au contentieux opposant Google à Oracle à raison de la prétendue violation de copyright portant sur des codes sources

Google LLC v. Oracle America, Inc., n° 18-956, 593 U.S. _ (5 avril 2021)

Cette décision rendue par la Cour Suprême américaine était très attendue dans la mesure où elle fixera vraisemblablement les contours de la notion de copyright appliquée aux codes sources.

Google et Oracle se livrent un contentieux depuis plusieurs années à raison de la prétendue reprise sans autorisation par Google du code source de déclaration de l’API Java SE, appartenant à Oracle, pour l’introduire au sein du système d’exploitation Android. Le code source de déclaration se distingue du code source d’implémentation en ce qu’il est uniquement l’instrument permettant d’exécuter les fonctions qui sont, elles, établies par le code sources d’implémentation.

La question qui a intéressé les diverses juridictions américaines saisies du litige était celle de savoir si l’appropriation par Google pouvait être qualifiée de « fair use », au sens de la section 107 du Copyright Act, qui prévoit une exception à la protection du copyright permettant une utilisation libre de l’œuvre, mais qui doit être appréciée au cas par cas selon 4 critères (le but de l’utilisation, la nature des œuvres protégées, la portion d’œuvre utilisée par rapport à sa globalité, les effets sur le marché d’une telle utilisation).

La Cour d’appel pour le Circuit Fédéral ayant donné gain de cause à Oracle sur la question du « fair use », sans pour autant se déterminer sur le quantum du préjudice, Google a formé un recours devant la Cour Suprême.

Par son arrêt, la Cour Suprême considère que le code de déclaration ne saurait être qualifié d’œuvre couverte par le copyright, dès lors qu’il est associé à des idées qui ne sont pas protégeables, la valeur des lignes copiées étant en grande partie le fruit de l’investissement des utilisateurs (ici les programmateurs) qui ont appris à utiliser l’API. Quant au premier facteur, elle considère que l’usage fait par Google du code est un usage « transformatif », dans la mesure où il est destiné à permettre à des programmeurs de travailler dans un environnement informatique différent (smartphones). Sur le troisième facteur, la Cour Suprême considère que les 11 500 lignes de code copiées par Google ne représentent que 0,4% de l’API et enfin, concernant le quatrième facteur, la Cour considère que l’API de Google opère sur un marché différent de Java SE sur lequel Oracle n’est pas présente.

Il résulte donc de ces appréciations que Google pouvait bénéficier de l’exception de « fair use » sans violer aucun droit attaché aux codes de déclaration.

On notera une opinion dissidente du Juge Thomas, qui relève que la distinction entre code de déclaration et code d’implémentation est assez artificielle et qui méconnaît les effets très significatifs qu’a eu l’appropriation par Google du code de déclaration sur le marché des produits Oracles.

La commission supérieure du numérique et des postes sollicite la création d’un parquet national « cyber »

Avis n°2021-03 du 29 avril 2021 de la commission supérieure du numérique et des postes portant recommandations dans le domaine de la sécurité numérique

La Commission Supérieure du Numérique et des Postes (CSNP) a rendu un avis aux termes duquel elle attire l’attention du législateur sur l’insuffisance de moyens mis en place pour traiter les dossiers de cybercriminalité en France, actuellement suivis par seulement trois magistrats. Les membres de la CSNP préconisent ainsi une transformation de la section spécialisée sur la cybercriminalité du parquet de Paris, J3, en parquet national, afin de décupler les effectifs et renforcer les moyens. La CSNP suggère également au ministre de la justice de consolider son maillage territorial cyber, afin de mieux former les magistrats et renforcer la coopération judiciaire européenne. Il est également demandé du ministre de l’intérieur de renforcer significativement les moyens de ses services d’enquête. Point d’importance, la CSNP plaide également pour un renforcement des pouvoirs de l’ANSSI, parmi lesquels celui d’avoir accès au secret de l’enquête. L’ANSSI n’a en effet à ce jour accès qu’aux seules procédures où elle est requise comme expert technique.

Approbation en première lecture à l’Assemblée Nationale du projet de loi relatif à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique

Après avoir été adopté en première lecture au Sénat le 20 mai 2021, le projet de loi relatif à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique poursuit son chemin en vue de son entrée en vigueur en tant que loi organique et a été approuvé en première lecture le 23 juin 2021 à l’Assemblée Nationale.

Parmi les nouveaux apports du projet de loi apparaissent la création de l’ARCOM, nouveau régulateur aux missions et pouvoirs élargis qui résultera de la fusion du CSA et de l’HADOPI, dont il héritera l’ensemble des missions. En particulier, l’ARCOM se voit confier une nouvelle mission de caractérisation des services de communication au public en ligne illicites. L’autorité sera ainsi habilitée à établir une liste de sites portant atteinte de manière grave et répétée aux droits d’auteurs ou aux droits voisins. Il s’agit d’une première, ce d’autant que le projet de loi permet également de mettre un terme au contournement par le biais des « sites miroirs », en permettant à l’ARCOM, sur saisine d’un ayant droit et en présence d’une décision passée en force de chose jugée, de demander le blocage ou le déférencement de ces « sites miroirs », pour une durée ne pouvant excéder celle restant à courir pour les mesures ordonnées par le juge.

Le projet de loi prévoit également des dispositions spécifiques à la lutte contre le piratage sportif et la retransmission illicite des manifestations et compétitions sportives. Il sera ainsi possible de saisir le président du Tribunal Judiciaire « selon la procédure accélérée au fond ou en référé » afin d’obtenir des mesures proportionnées propres à prévenir ou à faire cesser l’atteinte à l’encontre de toute personne susceptible de contribuer à y remédier. Les mesures pourront être ordonnées pour chaque journée figurant au calendrier officiel dans la limite de la durée de la saison sportive. L’ARCOM sera alors investie de pouvoirs de recherche et d’investigation des sites contrefaisants ainsi que d’un pouvoir de notification aux personnes susceptibles de bloquer ou de déréférencer les services contrevenants. L’ARCOM sera ainsi chargée d’un véritable rôle de « gendarme » visant à surveiller les pratiques illicites de piratage et d’atteinte aux droits.

Publication par la Commission européenne de sa proposition de règlement établissant les règles harmonisées sur l’intelligence artificielle.

Comm. eur., 21 avr. 2021, COM(2021) 206 final, Artificial Intelligence Act

La Commission européenne publie la tant attendue proposition « Artificial Intelligence Act », qui aura vocation à réguler les systèmes ayant recours à l’intelligence artificielle. Parmi les points notables de la proposition de règlement, il convient de relever que la Commission européenne donne une définition claire du système d’intelligence artificielle, qui est donc le « logiciel développé » à partir d’une des trois techniques : auto-apprenante (communément dénommé « machine learning »), logique (qui suivent une trame logique prédéfinie pour parvenir à un résultat) et statiques. Malgré cette définition large de l’intelligence artificielle, le projet de règlement exclue de son champ d’application les systèmes d’intelligence artificielle utilisés à des fins militaires.

La proposition de règlement indique également la répartition des responsabilités en lien avec l’utilisation des systèmes d’intelligence artificielle, à savoir le développeur, le déployeur (l’intervenant qui utilise un produit ou service à base d’IA) et potentiellement d’autres intervenants (le producteur, le distributeur ou l’importateur, le prestataire de services, et l’utilisateur professionnel ou privé).