Interview de Philippe Touitou par Mag Securs sur la loi du 1er août 2006 dite loi «DADVSI»

12 sept. 2006 : Interview de Philippe Touitou par Mag Securs, Magazine Européen de la sécurité informatique – Décryptage de la loi du 1er Août 2006 relative au droit d’auteur et aux droits voisins dans la société de l’information dite loi « DADVSI » : http://www.mag-securs.com/spip.php?article5734 1.

Mag Securs : Pouvez-vous nous résumer ce que sont les grandes lignes de cette nouvelle loi qui vont concerner les RSSI et les professionnels de la sécurité des systèmes d’information ?

Censurée en partie par le Conseil constitutionnel le 27 juillet dernier, la loi du 1er août 2006 relative au droit d’auteur et aux droits voisins dans la société de l’information (« DADVSI ») a pour principal objet d’adapter le régime de la propriété littéraire et artistique aux nouvelles technologies de l’information et de la communication. Elle assure la transposition de la directive communautaire n°2001/29/CE du 22 mai 2001 et des traités de l’Organisation Mondiale de la Propriété Intellectuelle du 20 décembre 1996 (Titre I). La nouvelle loi poursuit également quatre autres objectifs : moderniser le régime du droit d’auteur des agents publics (Titre II) ; renforcer le contrôle du ministère de la culture et de la communication sur les sociétés de gestion collective du droit d’auteur et des droits voisins (Titre III) ; actualiser la loi du 20 juin 1992 sur le dépôt légal en étendant la formalité aux logiciels et bases de données (Titre IV) ; étendre le droit de suite aux auteurs d’œuvres graphiques et plastiques ressortissant de l’Union Européenne ( Titre V).

Cette loi ne traite donc pas directement de la sécurité des systèmes d’information.

Précisions terminologiques et juridiques : A titre liminaire, le lecteur doit comprendre que le droit d’auteur est d’abord et avant tout un droit exclusif : celui d’interdire telle ou telle utilisation de l’œuvre. Le droit d’auteur comprend des prérogatives d’ordre patrimonial et d’autres d’ordre moral.

Parmi les droits moraux figurent notamment le droit à la paternité et celui au respect de l’œuvre.

Les droits patrimoniaux sont, quant à eux, essentiellement constitués du droit de reproduction et du droit de représentation. La reproduction, c’est la fixation de l’œuvre sur un support. La représentation, c’est la communication de l’œuvre au public.

Or, la dématérialisation induite par le développement du numérique rend ténue cette distinction entre le vecteur de communication de l’œuvre, donnant lieu à l’exercice du droit de représentation, et le support qui la fixe, donnant lieu à l’exercice du droit de reproduction (v. A. LUCAS, Propriété littéraire et artistique, Dalloz 1994).

« Les droits voisins » du droit d’auteur sont également des droits exclusifs. Ils sont reconnus aux artistes interprètes, aux producteurs de phonogrammes et vidéogrammes, et aux entreprises de communication audiovisuelles. Ces droits voisins comportent aussi des prérogatives d’ordre patrimonial et moral.

En la matière il y a un point essentiel à retenir : tout usage non expressément autorisé d’une œuvre est interdit, et constitue une contrefaçon passible de sanctions pénales.

Ces précisions apportées, notre résumé portera sur les principales dispositions du Titre 1er de la loi, qui a fait l’objet de vifs débats entre les différents acteurs de la société de l’information, en ce qu’il transpose, avec plus de trois ans de retard, la directive communautaire « DADVSI » du 22 mai 2001.

Les nouvelles exceptions au droit de reproduction et de représentation. Notre législation connaissait déjà un certain nombre de dérogations, ou « exceptions », au droit exclusif des auteurs, des bénéficiaires des droits voisins, et des producteurs de bases de données.

La plus connue de ces dérogations est l’exception de copie privée qui énonce que l’auteur et les titulaires de droits voisins ne peuvent interdire les copies ou reproduction strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective (articles L122-5 et L 211-3 du Code de la propriété intellectuelle).

La loi du 1er août 2006 introduit de nouvelles exceptions au profit des personnes handicapées, des bibliothèques et des enseignants (exception pédagogique).

Elle crée également une nouvelle exception portant spécifiquement sur les reproductions provisoires présentant un caractère transitoire ou accessoire, lorsque cette reproduction est partie intégrante d’un procédé technique nécessaire à l’utilisation licite de l’œuvre ou à sa circulation. Sont ici visées les hypothèses de browsing et de caching comme l’indique le considérant 33 de la directive.Enfin, le texte prévoit un mécanisme de contrôle des exceptions, en conditionnant leur application à la vérification de trois critères.

Chacune des exceptions : doit être un cas spécial prévu par la loi ; sa mise en œuvre ne doit pas nuire à l’exploitation normale de l’œuvre ; elle ne doit pas causer un préjudice injustifié aux intérêts légitimes des titulaires de droits.Ce mécanisme dit du « test en trois étapes » s’appliquera à l’ensemble des exceptions au droit d’auteur, aux droits voisins et aux droits des producteurs de base de données visées aux articles L122-5, L211-3 et L342-3 du Code de la propriété intellectuelle.

Le régime des exceptions propre au logiciel n’est pas concerné par la loi nouvelle et demeure donc inchangé L122-6-1 du Code de la propriété intellectuelle).

La consécration légale des mesures techniques de protection et d’information Il s’agit du dispositif central de la loi qui consacre la protection juridique des mesures techniques en matière de droit d’auteur, de droits voisins, et de droits des producteurs de bases de données.

Ces dispositions ne concernent pas les titulaires de droits sur les logiciels qui bénéficient déjà d’un régime spécifique (article L122-6-2 du Code de la propriété intellectuelle).

Les mesures techniques de protection et d’information permettent de contrôler les utilisations des œuvres sous format numérique en fonction des autorisations des titulaires de droits et d’adjoindre aux œuvres protégées des informations sur ces œuvres et le régime de leurs droits. Les mesures techniques de protection visent donc à lutter efficacement contre les usages non autorisés d’une œuvre, autre qu’un logiciel, en garantissant techniquement le respect de ses conditions d’utilisation (article L331-5 du Code de la propriété intellectuelle).

Outre des fonctionnalités d’information pour le public, les informations sous forme électronique permettent quant à elles d’identifier l’œuvre, le régime des droits y afférents, et le titulaire de ces droits (article L331-22 du Code de la propriété intellectuelle). La protection juridique des mesures techniques et des informations sous forme électronique est désormais assurée par de nouvelles infractions pénales.

On distingue les infractions portant sur les mesures techniques de protection et celles portant sur les informations sous forme électronique. Les infractions portant sur les mesures techniques de protection ne nécessitent pas une atteinte spécifique au droit d’auteur ou aux droits voisins pour pouvoir être caractérisées :

– Ainsi, le seul fait de porter atteinte à une mesure technique de protection par d’autres moyens que l’utilisation d’une application ou d’un dispositif spécifiquement conçu ou adapté à cet effet est puni de 3.750 euros d’amende (articles L335-3-1-I et L335-4-1-I, du Code de la propriété intellectuelle).

– De même, le fait de fabriquer, fournir ou de proposer des moyens spécifiquement conçus ou adaptés pour porter atteinte à une mesure technique de protection est puni de six mois d’emprisonnement et de 30.000 euros d’amende (articles L335-3-1-II et L335-4-1-II du Code de la propriété intellectuelle). En revanche, les infractions portant sur les informations sous forme électronique ne sont constituées que dans la mesure où elles ont pour but de porter atteinte à un droit d’auteur, ou à un droit voisin, de dissimuler ou de faciliter une telle atteinte : – Sous cette réserve, le fait de supprimer ou de modifier tout ou partie des informations sous forme électronique par des moyens autres que l’utilisation d’une application ou d’un dispositif spécifiquement conçu ou adapté à cet effet est puni de 3.750 euros d’amende (articles L335-3-2-I et L 335-4-2-I du Code de la propriété intellectuelle).

– De même, le fait de fournir ou de proposer des moyens spécifiquement conçus ou adaptés pour supprimer ou modifier tout ou partie des informations sous forme électronique est puni de six mois d’emprisonnement et de 30.000 euros d’amende (articles L335-3-2-II et L 335-4-2-II du Code de la propriété intellectuelle).

– Enfin, est puni des mêmes peines le fait de fournir ou de proposer au public une œuvre dont tout ou partie des informations électroniques a été modifié ou supprimé (articles L335-3-2-III et L 335-4-2-III du Code de la propriété intellectuelle). La loi précise que ces dispositions pénales ne s’appliquent pas aux actes réalisés à des fins de recherche ou de sécurité informatique.

. Mesures techniques et interopérabilité : Le législateur pose en principe que les mesures techniques de protection ne doivent pas faire obstacle à la mise en œuvre de l’interopérabilité dans le respect du droit d’auteur (article L331-5 alinéa 4 du Code de la propriété intellectuelle – article 13 de la loi). Les fournisseurs de mesures techniques doivent donc accorder l’accès aux informations essentielles à l’interopérabilité.

Ces informations essentielles comprennent la documentation technique et les interfaces de programmation nécessaires pour permettre à un dispositif technique d’accéder, y compris dans un standard ouvert comme celui du logiciel libre, à une œuvre protégée par une mesure technique et aux informations sous forme électroniques, dans le respect des conditions d’utilisation de l’œuvre qui ont été définies à l’origine. Il est créée une Autorité de Régulation des Mesures Techniques, nouvelle autorité administrative indépendante.

Celle-ci veille à ce que les mesures techniques n’aient pas pour conséquence, du fait de leur incompatibilité ou de leur incapacité d’interopérer, d’entraîner dans l’utilisation d’une œuvre des limitations supplémentaires et indépendantes de celles expressément décidées par le titulaire d’un droit sur une œuvre (article L331-6 du Code de la propriété intellectuelle).

Tout éditeur de logiciel, tout fabriquant de système technique et tout exploitant de service peut, en cas de refus d’accès aux informations essentielles à l’interopérabilité, demander à l’Autorité de régulation de garantir celle-ci, dans le respect des droits des parties, et d’obtenir du titulaire des droits sur la mesure technique les informations essentielles à cette interopérabilité.

L’Autorité dispose d’un délai de deux mois, à compter de sa saisine, pour rendre sa décision.

Le titulaire des droits sur la mesure technique ne peut refuser au demandeur la publication du code source et de la documentation technique que s’il apporte la preuve que celle-ci aurait pour effet de porter gravement atteinte à la sécurité et à l’efficacité de ladite mesure technique.

L’autorité peut accepter des engagements proposés par les parties, de nature à mettre un terme aux pratiques contraires à l’interopérabilité. A défaut d’accord entre les parties, elle rend une décision de rejet de la demande ou émet une injonction prescrivant, au besoin sous astreinte, les conditions dans lesquelles le demandeur peut obtenir l’accès aux informations essentielles à l’interopérabilité et les engagements qu’il doit respecter pour garantir l’efficacité et l’intégrité de la mesure technique, ainsi que les conditions d’accès et d’usage du contenu protégé.

L’autorité a le pouvoir d’infliger une sanction pécuniaire applicable soit en cas d’inexécution de ses injonctions, soit en cas de non-respect des engagements qu’elle a acceptés. Les décisions de l’autorité sont rendues publiques dans le respect des secrets protégés par la loi. Les parties peuvent faire appel devant la cour d’appel de Paris. Par ailleurs, le président de l’Autorité de régulation des mesures techniques doit saisir le Conseil de la concurrence des abus de position dominante et des pratiques entravant le libre exercice de la concurrence dont il pourrait avoir connaissance dans le secteur des mesures techniques.

Enfin, le Conseil de la concurrence communique à l’Autorité de régulation toute saisine entrant dans le champ de compétence de celle-ci, et recueille son avis sur les pratiques dont il est saisi dans le secteur des mesures techniques.

• Mesures techniques et exception de copie privée : Rappelons que l’exception de copie privée ne trouve à s’appliquer que pour « les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinée à une utilisation collective » (article L122-5-2° du Code la propriété intellectuelle). Le copiste s’entend de la personne physique qui réalise la copie (cf. article 5.2 b de la directive DADVSI).

La notion « d’usage privé » conduit évidemment à écarter tout utilisation commerciale ou professionnelle. L’exception de copie privée ne bénéficie qu’aux personnes physiques. Les personnes morales ne peuvent donc s’en prévaloir. En outre, il est constant que l’exception de copie privée ne porte pas sur les logiciels. La personne ayant le droit d’utiliser le logiciel peut seulement faire une copie de sauvegarde lorsque celle-ci est nécessaire pour préserver l’utilisation du logiciel (article L122-6-1-II du Code de la propriété intellectuelle).

En conséquence, les RSSI et les professionnels de la sécurité informatique ne sont pas directement concernés par les dispositions de la loi DADVSI consacrées à l’exception de copie privée. On se contentera alors d’indiquer que la loi prévoit que les mesures techniques ne peuvent faire obstacle au libre usage de l’œuvre dans les limites des droits prévus par le Code de la propriété intellectuelle et de ceux accordés par les détenteurs de droits (article L331-5 alinéa 6 du Code de la propriété intellectuelle).

Les titulaires de droits qui mettent en place des mesures techniques de protection doivent donc prendre les dispositions utiles pour que leur mise en œuvre ne prive pas les bénéficiaires des exceptions de leur exercice effectif (article L331-9 du Code de la propriété intellectuelle). Cependant, le bénéfice des exceptions est désormais explicitement subordonné à l’accès licite à l’œuvre (c’est-à-dire autorisé par le titulaire des droits), et à la condition que l’exception soit conforme au test des trois étapes. Les titulaires de droits ont la faculté de prendre des mesures techniques limitant le nombre de copies.

L’obligation qui leur est faite de limiter la portée des mesures techniques pour les rendre compatibles avec le bénéfice des exceptions ne s’applique pas aux diffusions en ligne à la demande (article L331-10 du Code de la propriété intellectuelle). L’utilisateur doit être informé des conditions d’accès à la lecture d’une œuvre et des limitations susceptibles d’être apportées au bénéfice de l’exception pour copie privé par une mesure technique de protection (article L331-12 du Code de la propriété intellectuelle).

Tout personne bénéficiaire des exceptions peut saisir l’Autorité de régulation des mesures techniques d’un différend portant sur la compatibilité de ces mesures avec le bénéfice des exceptions (article L331-13 du Code de la propriété intellectuelle). L’Autorité de régulation recherche une solution de conciliation constatée, le cas échéant, par un procès-verbal ayant force exécutoire. A défaut de conciliation dans un délai de deux mois à compter de sa saisine, l’autorité rend une décision de rejet de la demande ou émet une injonction prescrivant, au besoin sous astreinte, les mesures propres à assurer le bénéfice effectif de l’exception.

L’appel de ces décisions s’exerce devant la cour d’appel de Paris (article L331-14 du Code de la propriété intellectuelle).

• Autres dispositions pénales : Parmi les nouveaux délits introduits par la loi DADVSI l’un des plus discuté est celui qui porte sur les logiciels de téléchargement. L’article L335-2-1 du Code de la propriété intellectuelle punit désormais de trois ans d’emprisonnement et de 300.000 euros d’amende le fait : « 1° D’éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d’oeuvres ou d’objets protégés ; 2º D’inciter sciemment, y compris à travers une annonce publicitaire, à l’usage d’un logiciel mentionné au 1º » (article L335-2-1 du Code de la propriété intellectuelle).

Ce texte appelle quelques brèves observations :

1ère observation : il faut noter que ce n’est pas l’usage en soit du logiciel qui est punissable, mais uniquement le fait de l’éditer, de le diffuser ou d’en faire la publicité au public. La simple utilisation n’est donc pas incriminée en tant que telle. Les actes de téléchargement ou de mise en ligne de contenus protégés, sans l’autorisation des titulaires de droits, ne relèvent pas davantage du texte, et restent punissables sur le terrain de la contrefaçon.

2ème observation : le texte incrimine expressément la mise à disposition ou la communication « au public ». En conséquence, la diffusion du logiciel sur des réseaux fermés, aux droits d’accès restreints, devrait logiquement demeurer hors du champ de la répression.

3ème observation : il semble que la caractérisation du délit suppose que soient constatés non seulement le caractère intentionnel de la diffusion du logiciel au public, mais également et surtout un mobile précis : l’intention spécifique de permettre ainsi la diffusion non autorisée d’œuvres protégées. Le principe d’interprétation stricte de la loi pénale conduit à penser que l’infraction ne sera pas constituée dès lors qu’il sera démontré que le logiciel n’a pas pour seul et unique objet de permettre la diffusion illicite d’œuvres protégées. C’est sans doute la raison pour laquelle le législateur a envisagé l’hypothèse du logiciel qui n’est pas manifestement destiné à la mise à disposition illicite d’oeuvres protégées, mais principalement utilisé à cette fin. Le nouvel article L336-1 du Code de la propriété intellectuelle prévoit en effet que : « Lorsqu’un logiciel est principalement utilisé pour la mise à disposition illicite d’oeuvres ou d’objets protégés par un droit de propriété littéraire et artistique, le président du tribunal de grande instance, statuant en référé, peut ordonner sous astreinte toutes mesures nécessaires à la protection de ce droit et conformes à l’état de l’art. ».

Toutefois, le législateur prend soin de préciser que « Les mesures ainsi ordonnées ne peuvent avoir pour effet de dénaturer les caractéristiques essentielles ou la destination initiale du logiciel ». Le président du tribunal pourra ordonner une saisie-contrefaçon de l’ordinateur sur lequel est installé le logiciel. On est en droit de s’interroger sur l’utilité et la portée pratique de ces dispositions dans la mesure où la diffusion illicite d’œuvres protégées tombait déjà sous le coup de l’arsenal législatif sanctionnant la contrefaçon.

2. Mag Securs : Concrètement, cette loi change-t-elle la responsabilité des RSSI et des entreprises ? En quoi et comment ?

Il faut relativiser la portée de cette loi en la matière. On a déjà vu que le texte ne porte pas spécifiquement sur la sécurité des systèmes d’information ; il ne modifie pas le régime de protection des logiciels ; enfin, les RSSI et les entreprises ne sont pas directement concernés par les dispositions relatives à l’exception de copie privée. On se contentera donc d’attirer l’attention du lecteur sur les points suivants :

• L’article 25 de la loi Il introduit un nouvel article L335-12 dans le Code de la propriété intellectuelle qui prévoit que le titulaire d’un accès à Internet doit veiller à ce que cet accès ne soit pas utilisé à des fins de reproduction ou de représentation d’oeuvres sans l’autorisation des titulaires des droits, lorsqu’elle est requise, en mettant en oeuvre les moyens de sécurisation qui lui sont proposés par le fournisseur de cet accès (logiciels de filtrage) en application de la loi pour la confiance dans l’économie numérique.

Ce texte appelle quelques observations :

1ère observation : Il est pour le moins surprenant que cet article, pourtant inséré dans le chapitre du Code la propriété intellectuelle consacré à la répression pénale, ne prévoit pas de sanctions pénales à l’encontre de la personne physique qui en violerait les dispositions. Et ce, alors même que l’article L335-8 du même code, prévoit que les personnes morales peuvent être déclarées pénalement responsables des délits prévus et réprimés au dit chapitre.

2ème observation : Que se passe-t-il si le fournisseur d’accès n’a pas fourni de logiciel de filtrage ?

3ème observation : Il est constant qu’est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation. Le complice est puni comme auteur de l’infraction (articles L121-6 et 121-7 du Code pénal). En conséquence, le titulaire d’un accès Internet qui met sciemment cet accès à la disposition d’un tiers afin que ce dernier réalise des actes de contrefaçon pourra voir sa responsabilité pénale engagée à ce titre. La loi DADVSI n’y change rien.

4ème observation : L’obligation pour l’entreprise de veiller à ce que son système d’information ne soit pas utilisé à des fins illicites n’est pas nouvelle. Elle résulte du droit commun, notamment des articles L226-17 du Code pénal et 1384 alinéa 5 du Code civil. Cette obligation a été clairement rappelée par la jurisprudence (notamment Cour d’appel de Paris 30 octobre 2002, Kiteoa.com c. / Tati), et récemment par la Cour d’appel d’Aix en Provence dans un arrêt du 13 mars 2006 (Affaire Lucent Technologies – mise en ligne de contenus illicites par un salarié depuis son poste de travail). L’obligation du RSSI de veiller à la sécurité du système d’information résulte quant à elle de la nature même de ses fonctions. On la retrouve ainsi systématiquement stipulée dans tous les contrats de travail parfois au travers d’une formulation très large du type : « Monsieur X aura pour fonction de veiller au bon fonctionnement et à la sécurité du système informatique et des réseaux de l’entreprise ».

Il s’agit évidemment d’une obligation substantielle du contrat, qui couvre déjà la sécurisation des usages des ressources informatiques de l’entreprise, en ce compris les accès internet. Le point de savoir si le RSSI a ou non correctement rempli sa mission continue de s’apprécier au cas par cas, en fonction notamment des moyens et des délais qui lui auront été accordés. De manière générale, l’obligation de sécurité du RSSI est une obligation de moyens.

C’est-à-dire que son employeur ne pourra le sanctionner qu’en rapportant la preuve d’une faute. En substance démontrer qu’il n’a pas pris les précautions suffisantes pour prévenir une utilisation illicite des ressources informatiques de l’entreprise.

Il semble donc que la loi DADVSI ne modifie pas substantiellement les règles de responsabilité gouvernant la matière que l’on peut résumer comme suit :

S’agissant de la responsabilité pénale :

– Le RSSI répond pénalement des infractions qu’il commet personnellement, même si ces infractions sont commises par négligence ou sur ordre hiérarchique.

– Les infractions commises par le RSSI dans le cadre de ses fonctions peuvent aussi, dans certaines circonstances, engager la responsabilité pénale du chef d’entreprise.

– Si le RSSI est titulaire d’une délégation de pouvoir valable : il pourra en outre répondre pénalement des infractions commises par un salarié qu’il a sous ses ordres ; il pourra encore, dans certaines circonstances, du fait de son infraction, engager la responsabilité pénale de la société qui l’emploie.

S’agissant de la responsabilité civile :

– En principe, sauf s’il commet une infraction pénale, le RSSI ne verra pas sa responsabilité civile engagée pour une faute commise dans l’exercice de ses fonctions. C’est-à-dire qu’il ne sera pas tenu de réparer personnellement le dommage causé aux tiers, par exemple aux titulaires de droits de propriété intellectuelle.

– En revanche, la faute du RSSI, engagera la responsabilité civile de la société qui l’emploie, laquelle devra donc réparer le dommage causé aux tiers.

– Quoi qu’il en soit, toute faute du RSSI, en particulier un manquement à son obligation de sécurité, peut fonder des mesures disciplinaires pouvant aboutir à un licenciement pour insuffisance professionnelle ou faute grave.

• L’article 15 de la loi L’article 15 de la loi est consacré aux mesures techniques permettant le contrôle à distance d’une ou plusieurs fonctionnalités de l’œuvre protégée ou l’accès à des données personnelles. Sont notamment visées les mesures techniques de protection, comme celles proposées par MICROSOFT, qui préalablement à la lecture d’une œuvre, se connectent à un serveur pour contrôler les droits de l’utilisateur.

L’importation, la fourniture ou l’édition de ce type de mesures techniques est désormais soumis à une déclaration préalable auprès du service de l’Etat chargé de la sécurité des systèmes d’information, dont les conditions d’application seront fixées par un décret en Conseil d’Etat.

Le législateur a cru utile de préciser que la mise en œuvre de telles mesures est subordonnée au respect des dispositions de la loi Informatique et Liberté du 6 janvier 1978.

Le responsable informatique éventuellement chargé de ces traitements ne manquera donc pas d’effectuer les formalités requises auprès de la CNIL. Son attention sera particulièrement attirée sur les dispositions légales concernant les transferts internationaux de données vers des pays tiers.

3. Mag Securs : A-t-elle un impact sur le travail des éditeurs de logiciels, ou les communautés de développement de logiciels libres (open-source) ?

• La protection juridique des mesures techniques : Cette protection se traduit par l’incrimination des actes de conception, de promotion ou de mise à disposition d’une application technologique permettant de porter atteinte aux mesures techniques. Les organisations défendant le logiciel libre et la recherche informatique estimaient que la prohibition de ces actes constituait un frein au développement du logiciel libre et à la recherche dans le domaine de la sécurité informatique.

Elles ont été entendues en partie par le législateur qui a décidé que la prohibition ne s’appliquera pas aux actes réalisés à des fins de « recherche » ou de « sécurité informatique ». Le Conseil constitutionnel a toutefois considérablement réduit le champ d’application de la notion de « recherche » en considérant que celle-ci s’entend uniquement de la « recherche scientifique en cryptographie », à condition « qu’elle ne tende pas à porter préjudice aux titulaires des droits ». •

La question de l’interopérabilité : La question de l’interopérabilité ou de la compatibilité est une donnée fondamentale. Professionnels et consommateurs attendent ensemble des offres facilement compatibles avec un maximum de supports. L’interopérabilité suppose la fourniture d’informations essentielles à ceux qui souhaitent développer des logiciels permettant la lecture de fichiers protégés. Ces informations doivent être accessibles dans des conditions garantissant un égal accès au marché à tous les opérateurs et éditeurs de logiciels. Désormais tout éditeur de logiciel peut solliciter la communication des informations nécessaires pour que son logiciel puisse lire une œuvre protégée par une mesure technique. Le fournisseur de la mesure technique peut, quant à lui, refuser cette communication uniquement s’il démontre qu’elle aurait pour effet de porter gravement atteinte à la sécurité et à l’efficacité de la mesure. Or, il est clair que l’éditeur d’un logiciel libre risque de se voir refuser cette communication dans la mesure où la divulgation du code source du logiciel libre rendra également accessible celui de la mesure technique, portant ainsi manifestement atteinte à la sécurité et à l’efficacité de ladite mesure. A défaut d’accord entre les parties, il appartiendra donc à l’Autorité de régulation de trancher le litige dans les deux mois de sa saisine. On ne peut à ce jour préjuger des solutions qui seront dégagées par l’Autorité mais il me semble qu’une interprétation téléologique de la loi devrait conduire à l’élaboration d’une jurisprudence favorable à l’interopérabilité, au demeurant confortée par les prescriptions du droit de la concurrence. Cependant, et en tout état de cause, la loi pose clairement le principe d’une hiérarchie des droits : la fourniture des informations essentielles ne sera possible qu’à la condition de ne pas porter gravement atteinte à la sécurité et à l’efficacité de la mesure technique. 4. Mag Securs : Cette loi a-t-elle un impact pour les utilisateurs privés de logiciels ? • Le contournement des mesures techniques de protection des œuvres autre que les logiciels Rappelons encore que la loi ne modifie pas les règles concernant la protection des titulaires de droit sur les logiciels. La loi incrimine le fait de porter atteinte à une mesure technique de protection par d’autres moyens que l’utilisation d’une application ou d’un dispositif spécifiquement conçu ou adapté à cet effet (articles L335-3-1-I et L335-4-1-I, du Code de la propriété intellectuelle). Or, le principe d’interprétation stricte de la loi pénale conduit à penser que l’utilisateur d’un logiciel spécifiquement conçu ou adapté pour contourner une mesure de technique de protection ne tomberait pas sous le coup de cette incrimination. L’utilisation de certains logiciels, déjà disponibles sur le marché, permettant, par exemple, de lire une oeuvre sous LINUX ne devrait donc pas, en principe, être punissable sur ce terrain. En revanche, la loi incrimine le fait de fabriquer, fournir ou proposer des moyens spécifiquement conçus ou adaptés pour porter atteinte à une mesure technique de protection (articles L335-3-1-II et L335-4-1-II du Code de la propriété intellectuelle). Or, constitue un recel le fait, en connaissance de cause, de bénéficier, par tout moyen, du produit d’un crime ou d’un délit (article 321-1 du Code pénal). Le simple utilisateur d’un logiciel destiné à contourner une mesure technique de protection pourrait donc théoriquement être poursuivi pour recel. Toutefois la loi DADVSI précise qu’ « un protocole, un format, une méthode de cryptage, de brouillage ou de transformation ne constitue pas en tant que tel » une mesure technique de protection au sens du texte (article L331-5 alinéa 3). • Mesures techniques de protection et exception de copie privée Les titulaires de droits qui recourent aux mesures techniques de protection peuvent leur assigner pour objectif de limiter le nombre de copies. L’exception de copie privée semble désormais explicitement réservée au seul profit de celui qui a acquis licitement un exemplaire de l’œuvre, c’est à dire avec l’autorisation du titulaire des droits (article 331-9 alinéa 2 du Code de la propriété intellectuelle). Le téléchargement non autorisé d’œuvres protégées, même pour un usage personnel, paraît donc désormais clairement exclu du bénéficie de l’exception de copie privée. Enfin, l’exception ne pourra jouer qu’à la condition de ne pas porter atteinte à l’exploitation normale de l’œuvre et de ne pas causer un préjudice injustifié aux intérêts légitimes du titulaire de droits. L’Autorité de régulation des mesures techniques sera désormais compétente pour régler tout différend qui opposera le bénéficiaire d’une exception aux titulaires de droits. La Cour de cassation avait déjà consacré, en février denier, dans le célèbre arrêt Mulholland Drive, la validité des dispositifs anti-copie en appliquant pour la première fois le test dit « des trois étapes ». La Haute juridiction a considéré que la notion « d’atteinte à l’exploitation normale de l’œuvre », propre à faire écarter l’exception de copie privée, s’apprécie au regard des risques inhérents au nouvel environnement numérique quant à la sauvegarde des droits d’auteur, et de l’importance économique que l’exploitation de l’œuvre, sous telle ou telle forme, représente pour l’amortissement des coûts de production. La règle du test en trois étapes figure dans plusieurs traités internationaux mais son interprétation était réservée aux législateurs des Etats parties et non pas au juge. Sa mise en oeuvre implique des analyses qui relèvent davantage de considérations économiques que juridiques. Cette règle n’a pas été initialement prévue pour s’appliquer directement aux titulaires de droits sur une oeuvre ou à ses utilisateurs. L’utilisateur ne sera pas nécessairement en mesure d’apprécier si son exercice de l’exception « ne porte pas atteinte à l’exploitation normale de l’œuvre » et « ne cause pas un préjudice injustifié aux intérêts légitimes » du titulaire de droits, alors même que des sanctions pénales sont pourtant encourues. 5. Mag Securs : Faut-il y voir une avancée ou un frein en matière de sécurité des systèmes d’information ? La loi ne porte pas spécifiquement sur la sécurité des systèmes d’information, et son incidence en ce domaine nous paraît donc extrêmement limitée. Certains ont craint, à juste titre, que le fait de divulguer des informations sur les éventuelles failles de sécurité des mesures techniques de protection soit susceptible de tomber sous le coup des dispositions pénales sanctionnant les atteintes aux dites mesures. Là encore, il semble qu’il convienne de relativiser la portée de la loi DADVSI. En effet, le texte prévoit expressément que les dispositions pénales sanctionnant les atteintes aux mesures techniques « ne sont pas applicables aux actes réalisés à des fins de sécurité informatique ». La divulgation des failles de sécurité à des fins de sécurité informatique nous semble donc a priori exclu du champ de la répression pénale. Enfin, rappelons qu’en droit communautaire une directive est un acte liant les Etats membres quant aux objectifs à atteindre, en leur laissant seulement le choix des moyens et de la forme pour parvenir à ces objectifs. La marge de manœuvre du législateur français était donc particulièrement étroite, rigoureusement encadrée par les dispositions de la directive. De nombreux décrets techniques devront être encore élaborés afin de rendre applicables les principales dispositions du texte. Ce sera notamment le cas pour les modalités d’information des utilisateurs sur les conditions d’accès à la lecture d’une œuvre, et l’instruction des dossiers soumis à l’Autorité de Régulation des Mesures Techniques.

On conclura cette interview, en regrettant que le législateur n’ait pas entendu ce mot célèbre de Voltaire : « Que toute loi soit claire, uniforme et précise : l’interpréter, c’est presque toujours la corrompre » (Voltaire, Dictionnaire philosophique).

Interview de Philippe Touitou publiée dans MAG SECURS n° 12 septembre 2006 : Lien : http://www.mag-securs.com/article.php3?id_article=5734

TwitterFacebookViadeoLinkedInGoogle+

Leave a Comment