L’impact des mesures techniques de protection sur les consommateurs
A. L’impact des DRMS et mesures techniques sur la vie privée
La directive du 22 mai 2001, conscient de la possibilité pour les titulaires de droits d’obtenir des informations sur les conditions d’utilisation de l’œuvre, impose que ces procédés techniques incorporent « les principes de protection de la vie privée, conformément à la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».
Les DRMS, nous l’avons vu, ne permettent pas simplement de verrouiller techniquement des œuvres, mais également d’inclure des informations dans le fichier, et de le tracer sur l’internet.
L’Union européenne elle-même s’est inquiétée de cette pratique, dans un document de travail daté du 18 janvier 2005 1 . Sont pointés du doigt les risques de rapprochement entre les DRMS et les digital watermarks tags (signature numérique d’un fichier) afin d’identifier les individus, et donc les traquer injustement et de façon disproportionnée.
En effet, les mesures techniques qui existent actuellement perturbent l’utilisation de l’œuvre, mais d’autres technologies, qui n’ont pas directement trait à l’utilisation de l’œuvre, risque de faire leur apparition. C’est le cas de la technologie baptisée Activated Content. Il s’agit d’une signature numérique qui se présente sous la forme d’un signal audio inaudible pour l’oreille humaine. Ce signal n’empêchera aucune utilisation du fichier téléchargé (à l’inverse des DRMS assortis de mesures techniques), mais contiendra plusieurs informations sur le fichier, notamment sur l’origine du propriétaire du fichier, informations qui ne pourront pas être modifiées.
Il semble que ce type de technologie soit amené à se développer, surtout si l’industrie du disque abandonne les DRMS, ce qui sera étudié dans la seconde partie. Ce type de technologie de marquage, sans être une forme de protection de l’œuvre en soi, fait naître un risque flagrant d’atteinte à la vie privée, car son utilisation permettrait le traçage des œuvres sur les réseaux de peer to peer, par exemple.
Il sera aisé au titulaire des droits sur l’œuvre de poursuivre le consommateur qui se sera procuré le fichier puis l’aura mis à la disposition des internautes. Aussi l’émergence de ces technologies doit-elle se faire au regard, en l’espèce en France, de la réglementation relative aux données à caractère personnelle. Il est en effet envisageable que ces informations profitent aux nouvelles techniques de marketing qui tendent à cibler toujours plus le consommateur.
En février 2003, l’EUCD.INFO 2 soulignait devant le CSPLA que les DRMS ne sauraient avoir pour objet ou pour effet de permettre à des organismes privés d’opérer des traitements automatisés de données à caractère personnel en vue de l’identification d’éventuelles infractions au droit d’auteur et aux droits voisins.
Conformément aux dispositions d’ordre public de la loi du 6 janvier 1978, des personnes morales de droit privé non investies d’une mission de service public ne sauraient en aucun cas se substituer à la police ou à la justice en s’arrogeant des pouvoirs d’enquête qui relèvent de la compétence exclusive de l’Etat.
En cela, il s’appuyait sur l’article 30 de la loi Informatique et Libertés du 6 janvier 1978, dans sa version de 2003, qui disposait que « sauf dispositions législatives contraires, les juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ainsi que, sur avis conforme de la commission nationale, les personnes morales gérant un service public peuvent seules procéder au traitement automatisé des informations nominatives concernant les infractions, condamnations ou mesures de sûreté ».
Une des autres difficultés inhérentes à la mise en place des DRMS étant l’adéquation et l’équilibre à trouver pour le respect de la vie privée et la protection des données à caractère personnel.
Cependant, la transposition de la directive européenne de 19951 par la loi du 6 août 2004 a changé la donne. Désormais, l’article 9 de la loi informatique et libertés, dans sa version consolidée, dispose que « les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du Code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres I, II et III du même code aux fins d’assurer la défense de ces droits » peuvent mettre en œuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté.
Les personnes morales visées sont les sociétés de perception et de répartition des droits d’auteur et des droits des artistes-interprètes et des producteurs de phonogrammes et de vidéogrammes et les organismes de défense professionnelle.
L’introduction de cette disposition dans la loi du 6 août 2004 avait fait l’objet d’une saisine du Conseil constitutionnel. Les parlementaires requérants faisaient valoir que la mesure critiquée n’était pas strictement nécessaire au but poursuivi et que l’atteinte aux droits et libertés constitutionnels était disproportionnée. Mais dans sa réponse 2 , le Conseil constitutionnel estimait que « compte tenu de l’ensemble de ces garanties et eu égard à l’objectif poursuivi, la disposition contestée est de nature à assurer, entre le respect de la vie privée et les autres droits et libertés, une conciliation qui n’est pas manifestement déséquilibrée ».
Pourtant, les risques existent et il convient de se poser la question suivante : la protection de la propriété intellectuelle justifie-t-elle une atteinte à la vie privée, plus précisément à la protection des données à caractère personnel.
Pour considérer ces atteintes, un postulat de base s’impose : l’adresse IP3 permet-elle d’identifier un individu ? La question est d’importance car le fondement d’une enquête policière sur l’internet est l’adresse IP. Or, bien que cet identifiant permette de remonter à l’abonné en s’adressant au fournisseur d’accès à l’internet, la cour d’appel de Paris a considéré4 que l’adresse IP n’est pas une donnée à caractère personnel.
Cette analyse remet profondément en cause la notion de données à caractère personnel qui est très large. En effet, l’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise « toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres ».
Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP. L’ensemble des autorités de protection des données des Etats membres de l’Union européenne a d’ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel.
1 The EU’s advisory body on data protection and privacy is specifically concerned about the way that digital rights management (DRMS) can be combined with digital watermarks tags to identify individuals and thus track people unfairly or unnecessarily
2 Association française dont le but est de promouvoir la copie privée dans le cadre de la transposition de la directive européenne sur le droit d’auteur.
1 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
2 Décision du Conseil constitutionnel n° 2004-499 du 29 juillet 2004
3 Une adresse IP (avec IP pour Internet Protocol) est le numéro qui identifie chaque ordinateur connecté à internet, ou plus généralement et précisément, l’interface avec le réseau de tout matériel informatique (routeur, imprimante) connecté à un réseau informatique utilisant l’Internet Protocol.
4 Cour d’appel de Paris 13ème chambre, section A Arrêt du 15 mai 2007, Henri S. / SCPP
Ce qui pose problème, tant d’un point de vue juridique qu’éthique, c’est le fait que les technologies mises en œuvre par les DRMS puissent créer des enregistrements de données qui même si elles sont généralement faites automatiquement via des « robots », sans aucune intervention humaine, sont susceptibles de menacer le respect de la vie privée des utilisateurs.
Il en est spécialement ainsi lorsque ces données recueillies sont accessibles à d’autres organismes, et peuvent donc être utilisées à des fins de prospection commerciale, dans le cadre du ciblage des consommateurs. Il est tout à fait envisageable que ces données soient utilisées dans un second temps pour établir des profils laissant apparaître les préférences musicales. Bien que non sensible, cette information peut suffire à l’envoi personnalisé de prospectus non sollicités.
Quelque soit, en réalité, les utilisations possibles de ces informations, la menace est envisageable. Les DRMS pourraient permettre de connaître de façon très précise des pans entiers de la vie privée des individus, de collecter des données allant au-delà de ce qui est simplement nécessaire à l’exercice des droits de la propriété littéraire et artistique, d’être couplées avec les informations rassemblées sur d’autres sites grâce à des systèmes d’identifiants uniques, tel que celui du système .NET Passport développé par Microsoft.
La technologie est neutre mais l’usage qui en est fait ne l’est pas. Cet usage devrait donc être guidé par l’éthique et non uniquement par des intérêts économiques. Le déploiement massif de mesures techniques de protection de nouvelle génération, communiquant avec des serveurs centraux ou s’appuyant sur des étiquettes intelligentes (RFID1), pourrait présenter des risques d’atteinte aux libertés individuelles.
A l’inverse, les ayants droits et leurs partenaires estiment que les DRMS ne posent pas de problèmes en terme d’atteinte à la vie privée et le CSPLA considère, dans un avis du 26 juin 20032, que « ces systèmes s’inscrivent dans le cadre général du commerce électronique et des règles, y compris pénales, applicables en matière de protection des données personnelles ».
1 Radiofréquency Identification. Identification à distance par radiofréquence à l’aide d’une étiquette intelligente « TAG » et d’un lecteur radiofréquence
2 Avis du CSPLA n° 2003-1 du 26 juin 2003 relatif à la propriété littéraire et artistique et libertés individuelles (www.culture.gouv.fr/culture/cspla/avislibertes.htm)
3 Avis du CSPLA n° 2004-1 du 2 mars 2004 relatif à la propriété littéraire et aux libertés individuelles (www.culture.gouv.fr/culture/cspla/avis04-1.htm)
Plus encore, dans un avis du 2 mars 20043, le CSPLA s’il est conscient des risques potentiels liés à la « collecte et la consolidation de données précises sur la consommation culturelle des intéressés et leur utilisation éventuelle à des fins non souhaitées » indique néanmoins que « ces risques, dont l’appréciation, s’agissant de technologies encore émergentes, est malaisée, sont communs à la plupart des systèmes permettant d’assurer la sécurisation des échanges sur les réseaux ouverts, tels que l’internet, notamment les systèmes de commerce électronique ».
