8. Un cadre juridique pour les libertés et les capacités numériques

1. Préserver la vie privée

Les technologies numériques peuvent être mises au service d'une surveillance de tous les instants. Les nouvelles formes de collecte et de traçage, la biométrie, la radio-identification (RFID) la dimension internationale de la collecte, et la valeur marchande attribuée aux données personnelles font surgir de nouveaux risques.

Renforcer le rôle de la CNIL



Les missions de la CNIL prennent donc une nouvelle dimension. La réforme de la loi du 6 janvier 1978, adoptée en 2004, a en réalité fait régresser la protection de la vie privée. D’abord, elle a affaibli les pouvoirs de la CNIL pour les fichiers intéressant la sécurité publique, la défense et la sûreté de l'Etat. Ensuite, elle a autorisé certains représentants de détenteurs de droits d’auteur à constituer des « fichiers d'infraction » au prétexte de lutter contre le « piratage. »
Recommandation 57
Augmenter le budget de la CNIL et lui permettre de faire face à ses nouvelles missions.
L’autorité allemande de protection des données emploie 400 personnes avec un budget de 40 millions d’Euros tandis que la CNIL fonctionne avec seulement 100 personnes et un budget de 10 millions d’Euros.

Recommandation 58
Assurer l’indépendance de la CNIL (mode de désignation, composition, régime d’incompatibilité qui évite les conflits d’intérêt parmi ses membres).

Instaurer un contrôle strict des fichiers de police et de sécurité

Les lois Sarkozy votées depuis 2002 au nom de la lutte contre la délinquance, contre l’immigration sauvage ou contre le terrorisme ont fortement déséquilibré notre système de protection des données personnelles.
Les lois Sarkozy ont institué une série de nouveaux fichiers comme le fichier des personnes françaises ou étrangères souhaitant héberger des ressortissants étrangers ou encore le fichier des empreintes digitales de tous les demandeurs de visa, l'empreinte étant conservée même lorsque le visa est refusé.
Elles étendent le périmètre de fichiers existants. Le fichier national des empreintes génétiques des auteurs condamnés d'infractions sexuelles a été élargi aux suspects d'un très grand nombre d'infractions (crimes et délits confondus) ; il compte désormais plus de 200 000 profils. Le fichier STIC (« système de traitement des "infractions constatées ») a été étendu aux mineurs, entraînant la constitution d’un véritable casier judiciaire des mineurs.
La CNIL constate une explosion des recours des particuliers mis en cause à tort dans ces deux fichiers. Un rapport de l’Observatoire National de la Délinquance fait état de graves dysfonctionnements dans la gestion des fichiers, et révèle que ceux-ci contiennent jusqu’à 25 % de noms fichés par erreur. L’entrée d’une personne dans le fichier n’est soumise à aucun contrôle préalable des juges du siège, seul le Procureur territorialement compétent les contrôle. Le STIC est désormais consultable à des fins administratives ou lors d'enquêtes de moralité toujours plus nombreuses. Au 1er janvier 2006, le STIC recensait 4.5 millions d’individus mis en cause.

Recommandation 69
Instaurer un contrôle strict a priori et a posteriori des fichiers de police et de sécurité

Interrompre et remettre à plat le projet de carte d’identité biométrique

Le 11 septembre 2001 a été l’occasion d’élargir le champ de la biométrie. Elle était réservée aux fichiers de condamnés, mais elle touche désormais à l’identité de tous : visas, passeports ou cartes d’identité. Les premiers textes adoptés concernent les documents de voyage pour lesquelles des recommandations ont été élaborées directement au plan international, au sein de l’OACI au printemps 2003.

Au niveau européen, l’avis du groupe européen de protection des données dit « groupe de l’article 29 » doit être salué comme constituant une première initiative significative en ce sens. Il affirme que le traitement des données biométriques est susceptible d'avoir de très fortes répercussions sur les droits fondamentaux des personnes concernées et ce d'autant plus qu'il porterait sur des éléments dont les personnes laissent des traces dans la vie quotidienne (empreintes digitales en particulier). Quant à la délivrance de documents administratifs comportant des informations biométriques, même si leur finalité est légitime, le groupe émet de nombreuses réserves vis-à-vis du principe de proportionnalité et des risques entraînés par leur usage.
En France la loi relative à l’immigration, intervenue à la fin de l’année 2003, préfigurant les travaux européens, a réformé de façon substantielle les procédures de vérification des identités lors de la délivrance des visas et lors du contrôle aux frontières, en généralisant le recours aux techniques biométriques.

Au-delà des documents de voyage, la biométrie s’étend maintenant aux documents d’identité des ressortissants européens (passeports, cartes d’identité, etc.). Au niveau européen, le caractère optionnel des empreintes digitales a été remplacé par une obligation de numérisation dans une puce.
Le Ministre de l’Intérieur a renoncé à présenter au Parlement le projet de loi portant sur la carte d’identité électronique (biomérique).

Recommandation 70
Interrompre le projet de carte d'identité électronique. Les avantages en matière de sécurité (sur lesquels portent des doutes sérieux) ne justifient pas la constitution d'une base de données biométriques (centralisée, de surcroit)

Recommandation 71
Engager un grand débat sur l'équilibre à trouver entre les exigences de sécurité et les risques que fait peser l'extension rapide, subreptice et sans contrôle des technologies de la surveillance.

Préserver le régime européen de protection des données personnelles

La France a été pionnière de l'adoption d'une législation de protection des données personnelles. La législation européenne s'est développée sur une base similaire à celle qui avait conduit à la loi de 1978 et en a approfondi l'approche, notamment en ce qui concerne les risques liés à des acteurs privés.
Que ce soit en France avec la CNIL ou au niveau européen avec le groupe de travail G29, une vraie communauté de réflexion s'est mise en place, qui a fait la preuve de sa capacité à réagir de façon précoce aux problèmes soulevés par de nouvelles technologies (identifiants de la version 6 du protocole internet, biométrie, RFID, nanotechnologies informationnelles).
L'approche européenne de la protection des données a fait la preuve de sa capacité à influencer l'approche américaine, certes de façon insuffisante (limites du Safe Harbour) mais néanmoins significativement.
Or, cet acquis précieux est sévèrement mis en danger du fait que ces dernières années, rien ne semble plus résister à l'invocation de priorités sécuritaires au nom duquel des atteintes considérables à la protection des données deviennent possibles, même dans des cas où les bénéfices en termes de sécurité en sont plus que discutables. Ainsi le fichier des empreintes génétiques au Royaume-Uni contient-il des données concernant plusieurs millions d'individus dont la grande majorité n’a jamais été condamnée (une évolution similaire en France étant discernable).
La question du transfert des données des passagers aériens aux Etats-Unis est un exemple prototype : condamnés par le Parlement tout comme par la Cour de Justice, la Commission et le Conseil ne semblent vouloir que contourner l'obstacle juridique et non entendre le message politique.

Les atteintes à la protection des données personnelles et à la vie privée au nom de l'exécution des titres de propriété intellectuelle soulèvent des inquiétudes non moindres.
Un amalgame est fait par certaines parties entre les exigences de la sécurité des infrastructures essentielles et des atteintes non-commerciales à des droits souvent incertains dans leur portée. Il a conduit à la proposition de dispositions transférant aux représentants d'ayant-droits des rôles d'action policière ou judiciaire et permettrait leur accès privilégié à des données personnelles.

Recommandation 72
Soumettre toute proposition risquant de conduire à un affaiblissement de l'état actuel de protection des données personnelles au nom d'exigences sécuritaires à l'avis du Parlement sur la base de rapports contradictoires dont ceux émanant des organismes chargés de la protection des données et ceux des associations dans le domaine des droits de l'homme.

Recommandation 73
Refuser toute disposition qui aboutirait à transmettre l'exécution pratique de pouvoirs de police ou de caractère judiciaire à des acteurs privés, ou qui induiraient des transferts de données personnelles à ces acteurs avant une décision judiciaire au fond. Là où de telles dispositions existent, œuvrer à leur révision.

2. Rééquilibrer la propriété intellectuelle et les droits d’auteur

La révolution informatique et internet ont ébranlé un équilibre qui s'était installé au 19ème siècle et consolidé au 20ème siècle. La propriété littéraire et artistique (droits d'auteur et droits voisins) et la propriété industrielle (brevets, marques) ont été mondialisés par les accords ADPIC au moment précis où des choix fondamentaux demandaient débat et arbitrage.
Certains de ces choix portent sur les conditions de leur application à de nouveaux objets : droits d'auteur ou brevets pour les logiciels, par exemple. D'autres sur la mise en oeuvre des droits : mesures techniques de protection et leur protection juridique, statut des échanges non commerciaux, nature des sanctions et mesures préventives. Il nous faut parvenir à trouver le chemin du bien public dans une situation inédite. Le relatif équilibre qui s'était installé dans le triangle créateurs / industries culturelles / usagers est profondément chamboulé dans deux directions contradictoires.

Les usagers sont dotés par les nouveaux outils de capacités immensément étendues de copier, échanger, recommander, s'exprimer, créer. La frontière qui séparait nettement usagers et créateurs devient floue, et les créateurs voient devant eux de nouvelles possibilités d'atteindre des publics étendus et de faire vivre des oeuvres. Les nouveaux intermédiaires (comme Google) qui servent ces capacités et hébergent des créations devenues innombrables détiennent un pouvoir sans précédent. L'Europe n'y est représentée que par un tissu de petites sociétés innovantes qui pourraient cependant grandir si elles étaient rejointes par quelques grands acteurs et disposaient d'un environnement juridique plus ouvert.

Les industries culturelles traditionnelles sont devant le choix de maintenir leurs modèles commerciaux installés en faisant la guerre aux usagers ou de s'adapter aux nouvelles pratiques, mais au prix d'une adaptation drastique de ces modèles commerciaux. Il faudra les aider à effectuer cette transition, notamment pour les producteurs indépendants, sans pour autant ignorer que la transition est inévitable.

Dans cette situation, nous devons permettre le développement d'activités économiquement soutenables qui sont porteuses de croissance, de diversité culturelle et d'innovation. Nous ne sommes pas seuls aux commandes des choix à effectuer. Chacun d'entre eux devra être négocié avec nos partenaires européens et parfois à l'échelle internationale. L'édifice du droit ne se bouscule pas d'un trait de plume.

L'approche que je vous propose ne vise qu'à corriger quelques dérives récentes et extrêmes, adoptées souvent dans l'urgence pour satisfaire des demandes de quelques groupes internationaux. Ceux-ci reviennent souvent dans la pratique sur les modèles qu'ils avaient mis en avant pour obtenir telle ou telle extension ou durcissement des droits restrictifs. Il en est ainsi par exemple avec l'abandon qui se généralise des DRM pour la musique de la part des groupes qui avaient demandé et obtenu des protections juridiques exorbitantes de ces mesures techniques de protection. De même, il existe aujourd'hui une reconnaissance générale d'une crise provenant d'une délivrance laxiste des brevets ... qui ne s'est pourtant produite que parce qu'on a cédé aux demandes de quelques industriels.

Il donc à la fois possible, par une action prolongée de rééquilibrer l'édifice des droits pour en refaire un outil respecté de la culture, de l'innovation. Cela demandera des actions pour organiser l'économie culturelle.
Au premier rang de ces mesures se situent les dispositifs qui concilient libertés des échanges non-commerciaux entre individus et rémunération des créateurs. Pour ce qui concerne les régimes juridiques de propriété industrielle et de droits d'auteur, l'action de la France devra être concentrée sur quelques points clés.

Recommandation 74

Rééquilibrer la directive 2001/29/CE (Directive sur l’harmonisation de certains aspects du droit d’auteurs et des droits voisins dans la société de l’information).
La Directive droits d’auteur dans la société de l’information a rompu l’équilibre des droits
La commission européenne vient de publier une étude d’impact de la directive droits d’auteur dans la société de l’information 2001/29 CE (dite « directive EUCD »), à l’origine de la loi DADVSI. Cette étude recense de nombreux déséquilibres entre les droits du public et ceux des ayant droits :
- En considérant qu'un contournement de mesure technique est illégal même lorsqu'il ne conduit pas à une violation des droits d'auteur. Ce verrouillage des œuvres peut conduire les diffuseurs à employer des mesures techniques pour des raisons étrangères à la protection des œuvres. Par exemple, pour contrôler la concurrence en assurant la préservation de parts de marché ou la protection de standards de fait, en maintenant les consommateurs dans des écosystèmes fermés et –
- En réduisant la capacité d’usage des contenus légalement acquis ; en permettant aux titulaires de droits d'échapper aux différentes exceptions aux droits d'auteurs par la mise en place de clauses contractuelles, la directive vide ces exceptions de leur substance. Par exemple, la directive 2001/29/CE ne prévoit même pas de contraindre les mesures techniques à respecter l’exception de citation.
- L'application du test en trois étapes par les tribunaux pour évaluer au cas par cas la validité des exceptions a mené à des résultats opposés selon les États membres, alors que seule la moitié environ d'entre eux l'a incorporé dans leurs législations nationales.

3. Définir et protéger l’interopérabilité des logiciels

Le logiciel est au cœur de la révolution numérique : il en est l'outil en même temps que le produit, tout comme la machine l'était pour la révolution industrielle. C’'est par le soutien à l'activité de création logicielle, qui permet de transformer des idées originales en produits et services innovants, que la révolution numérique atteindra ses pleins effets, créateurs d'emplois et de richesse.

Si le logiciel est protégé au niveau international par le mécanisme des droits d'auteur, au même titre que les autres œuvres de l'esprit , la part croissante du logiciel enfoui au sein des dispositifs matériels a conduit certains instituts de brevets européens, dont l'Office européen des brevets, à étendre à ces logiciels le bénéfice des revendications de brevet, voire à délivrer des brevets sur des méthodes intellectuelles telles que méthodes éducatives ou commerciales (« business methods »), en contradiction manifeste avec l'article 52.2 de la Convention du brevet européen.

Cette extension s'est faite par évolutions successives de la jurisprudence interne des chambres d'appel de l'OEB, en arguant que si un logiciel « en tant que tel » n'était pas brevetable, un logiciel utilisé au sein d'un dispositif matériel et conduisant à un « effet technique » pouvait l'être. Cette argumentation n'est cependant pas cohérente, parce que le prétendu « effet technique » n'est jamais le fait du logiciel, mais des composants matériels adjoints à l'ordinateur exécutant le logiciel de contrôle du procédé innovant. La seule doctrine conforme au texte de la Convention du brevet européen, cohérente avec les règles existantes de brevetabilité des inventions ne faisant pas appel à des éléments logiciels, est donc la suivante : dans le cas d'une invention matérielle faisant intervenir du logiciel, l'invention dans sa globalité peut être revendiquée, sur la base de la contribution technique fournie par sa partie matérielle, alors que sa partie logicielle, « en tant que telle » non technique, ne peut faire partie des caractéristiques techniques du brevet. Cette doctrine est de plus totalement compatible avec les accords ADPIC, en ce que le domaine du logiciel n'est simplement pas considéré, dans son ensemble, comme un domaine technique au sens du droit des brevets.

Qui plus est, les bénéfices escomptés d'une protection des logiciels par le brevet semblent bien faibles, au regard des effets négatifs constatés dans les zones dans lesquelles ils ont été mis en œuvre, et en particulier les États-Unis. L'industrie du logiciel a été innovante bien avant que les brevets logiciels existent : il n'y a donc pas de nécessité à encouragement par l'exclusion, au prix de la création de monopoles, renforcés qui plus est par les effets de réseau inhérents à l'économie du logiciel.
Si le droit d'auteur empêche la copie servile d'un logiciel donné, le brevet, en monopolisant les concepts présidant à l'écriture des programmes, peut bloquer l'accès au marché à tout logiciel concurrent, empêchant un innovateur de prendre le relais d'un concurrent devenu moins innovant mais ayant verrouillé son marché au moyen de brevets logiciels.

Le système des brevets, conçu pour les cycles de développement lents de l'industrie manufacturière ne semble pas adapté à une économie de biens immatériels. La majorité des acteurs concernés estime que le système des droits d'auteur, combiné au secret industriel garanti par l'interdiction de rétro-ingéniérie (sauf dans le cas précis de l'interopérabilité), est plus adapté au secteur du logiciel.

Le droit à l’interopérabilité est reconnu au niveau européen depuis plus de quinze ans. Il découle des articles 5 et 6 de la Directive 91/250 CE , qui reconnaissent à tout développeur de logiciel le droit d’effectuer la rétro-ingéniérie d’un logiciel existant à fin de pouvoir créer un logiciel capable d’interopérer avec ce dernier. Ce droit ne peut être effectif et servir efficacement à maintenir une concurrence libre et non faussée, que si l’auteur d’un logiciel interopérable peut librement diffuser celui-ci, sous quelque forme et suivant quelque modèle économique qu’il le souhaite. En cela, l’interopérabilité s’oppose frontalement aux brevets logiciels et à la sanctuarisation abusive des mesures techniques de protection ; elle doit leur être supérieure en Droit, car elle constitue, à l’ère des échanges numériques, l’équivalent de ce que la liberté de parole et d’association ont été à la Révolution : un pré-requis absolu à la constitution d’une société moderne et ouverte.

Il est donc essentiel de définir et protéger explicitement l’interopérabilité dans la loi. Des tentatives en ce sens ont déjà été effectuées par le Parti socialiste lors du débat sur la loi DADVSI , mais ont été rejetées par la Droite, alors que la définition d'un standard ouvert, dans l'article 4 de la LCEN, n'a pu être obtenue qu'après une longue bataille parlementaire .

Au delà du cadre strictement national, cette reconnaissance de l’interopérabilité devra se faire au niveau européen, vraisemblablement par le biais d'une directive empêchant les abus de position dominante liés au secret des formats de données et des protocoles d’échange d’informations.


Recommandation 75
Agir au niveau des instances nationales, européennes et internationales pour que soit refusée de façon explicite la brevetabilité des logiciels et méthodes intellectuelles, en restreignant la brevetabilité aux inventions apportant un enseignement nouveau sur l'usage de forces contrôlables de la nature.

Recommandation 76
Promouvoir au niveau européen et national une approche exigeante de l'interopérabilité, qui fasse de celle-ci un droit effectif, et qui pourrait être l'objet d'une directive européenne.

4. Un régime de responsabilité limitée des prestataires techniques qui préserve la capacité d'innover

Avec l’essor de l’internet, les prestataires techniques (hébergeurs et fournisseurs d’accès) ont été confrontés à des problèmes de responsabilité pour les contenus qu’ils hébergeaient ou auxquels ils donnaient accès. Il apparut assez vite que le régime de responsabilité en cascade qui existe dans la presse (le directeur de la publication étant le premier responsable des infractions commises par les auteurs dont il a publié ou diffusé les propos) ne pouvait être transposé dans l’internet, faute de pouvoir imposer aux prestataires techniques une obligation de surveillance a priori des données qu’ils hébergent ou qui transitent par eux.

Apres de vifs débats, la directive européenne E-commerce du 8 juin 2000 a posé un principe d’exonération de responsabilité pour les intermédiaires techniques. Cette exonération de responsabilité prend en compte la réalité technique d’internet : les prestataires ne connaissent pas,les contenus qu'ils acheminent, d'où l'impossibilité de rechercher leur responsabilité dans les dommages qu'ils pourraient causer. Plusieurs lois successives en 2000, en 2004 (LCEN) et en 2006 (DADVSI) ont aménagé ce régime de responsabilité. Cet arbitrage en faveur des prestataires technique couvre aujourd'hui l'ensemble des acteurs qui mettent des contenus à disposition sans en être les éditeurs : créateurs de forums non-modérés, de blogs, etc.
Aujourd'hui, le régime général est que les prestataires techniques ne peuvent voir leur responsabilité engagée tant qu’ils respectent un certain nombre d’obligations : ils doivent cesser la diffusion des informations manifestement illicites dès qu’ils en ont connaissance ; ils doivent conserver et transmettre, sur demande des autorités publiques, les données permettant l’identification des utilisateurs responsables de la diffusion de ces contenus.

Ce régime de responsabilité aménagée est périodiquement remis en cause. Les demandes les plus récurrentes visent à imposer la mise en place de dispositifs de filtrage et de labellisation. Ce débat rebondit autour de la nouvelle génération de plateformes de partage de contenus. Les tentatives de responsabilisation des développeurs de logiciels (comme le prévoit un amendement dit amendement dit Vivendi à la DADVSI) participent de la même démarche.

Recommandation 77
Maintenir le régime de responsabilité aménagé des intermédiaires techniques et préciser son champ d’application