Blog

Quand la clause Non-Commercial des licences Creative Commons passe en justice

- S.I.Lex -

J’avais sur mon radar depuis un moment un procès en cours aux Etats-Unis survenu à propos des licences Creative Commons, qui aurait pu s’avérer dangereux si les juges avaient suivi la logique du plaignant. Il portait sur l’interprétation de la clause NC (Non-Commercial – Pas d’usage commercial), connue pour avoir déjà fait couler beaucoup d’encre…

Lorsque je la présente en formation, il m’arrive de dire qu’il s’agit de la « clause de la discorde », car cette option, figurant parmi les quatre proposées par les licences Creative Commons, divise depuis longtemps la communauté. La restriction d’usage commercial est en effet jugée incompatible avec les principes du Libre et de l’Open Source et à plusieurs reprises, des revendications ont été portées pour que la fondation Creative Commons supprime cette option. Outre ces oppositions de principe, on lui reproche souvent d’être trop floue et de manquer de prévisibilité dans son application, notamment…

View original post 1 319 mots de plus

Publicités

Pokemon Go et le droit, version augmentée

Il y a quelques temps, Digital Jurist vous proposait un résumé du colloque Pokemon Go et le droit qui s’est tenu le 15 décembre 2016. Voici une version augmentée par l’ensemble des intervenants que je remercie chaleureusement.

Pokémon go et le droit, compte rendu de colloque, Université Toulouse 1 Capitole.

Ce jeudi 15 décembre, nous avons eu l’occasion et le bonheur de participer au colloque organisé par plusieurs laboratoires des universités toulousaine (IRDEIC, IDETCOM, CDA, IDP, IMH) traitant du rapport entretenu entre le jeu Pokémon Go et les règles de droit en France et dans le monde. En effet, ce jeu, comme d’autres utilisant le principe de la réalité augmentée, soulève de nombreuses questions tant au niveau des conditions d’utilisation des données personnelles, qu’au niveau de la propriété intellectuelle, ou encore concernant la violation des règles étatiques ou privées.

Retour sur quelques unes des interventions.

Tout d’abord, il importe de situer le jeu dans sa réalité technologique, dans son rapport aux joueurs, et dans son rapport à l’environnement. C’est ce qu’a proposé M JP JESSEL, de l’IRIT, en précisant que Pokemon Go se compose d’un milieu numérique propre : jeu vidéo + application mobile + réseau social … Ce système combinatoire se retrouve également dans l’interface du jeu mobile : imbrication du contexte physique et numérique.

Les principes du jeu sont basés sur des composantes techniques indispensables au bon déroulement des recherches menées par les chasseurs : géolocalisation des joueurs, représentation stylisée de l’environnement, mais également incitation à aller dans certains endroits, et surtout joueurs suivis ou, pour reprendre les termes de M JESSEL, « trackés ». C’est-à-dire un marquage des joueurs par l’application, et donc par les autres joueurs. L’accès à ses données personnelles par l’entreprise mais également par des tiers est donc un principe incontournable du jeu.

Les perspectives industrielles de la réalité augmentée ont été évoquées grâce à l’intervention de M Xavier CROUILLES de la société InnerSense, qui propose de la visualisation 3D d’éléments à installer chez soi par l’utilisation de tablettes.

Ces 2 interventions ont permis de poser les enjeux techniques, qui, comme à chaque innovation, soulèvent la question de l’encadrement des pratiques. La suite des interventions s’est focalisée sur les problématiques juridiques liées au jeu Pokémon Go et plus largement à l’encadrement des jeux vidéo et à la régulation accompagnant leur mise sur le marché.

Trois juristes ont ouvert ce volet : Mme Jessica EYNARD, Mme Céline CASTETS-RENARD et Mme Alexandra MENDOZA-CAMINADE.

Mme EYNARD, en s’intéressant à la politique de confidentialité du jeu, a mis en exergue l’opacité entourant la collecte et l’utilisation des données personnelles. Il s’avère en effet exister 2 politiques de confidentialité dont certaines clauses divergent : celle de NIANTIC (société développant le jeu) et celle de The Pokemon Company Inc. (détentrice des droits de propriété intellectuelle sur tout ce qui attrait à Pokémon). Les deux semblent devoir être utilisées tant il apparaît que les données personnelles des joueurs transitent au sein de ces deux entités. L’étude comparée des 2 textes laisse transparaître plusieurs problèmes majeurs qui concernent notamment :

  • Le transfert des données hors de l’Union européenne : Niantic indique que des données sont transférées vers des pays « où les lois sur la confidentialité pourraient ne pas être aussi protectrices » que celles du pays de résidence du joueur sans jamais préciser le fondement légal à de tels transferts. Quant à The Pokémon Company Inc., elle se réfère aux principes du Safe Harbor pour légitimer les transferts de données aux Etats-Unis. Or, l’accord Safe Harbor a été invalidé par la CJUE dans un arrêt Schrems du 6 octobre 2015 ( C-362/14 Maximillian Schrems/Data Protection Commissioner) en raison de la faiblesse du niveau de protection des données assuré. Il a depuis été remplacé par le Privacy Shield, lequel fait d’ores et déjà l’objet de vives critiques. Il faut en déduire que le transfert opéré par The Pokémon Company Inc. est purement et simplement illégal au regard de la réglementation européenne.
  • La masse des données personnelles collectées : la lecture des politiques de confidentialité aboutit à l’idée que la moindre action opérée sur l’application Pokémon GO conduit à la collecte de données personnelles que ce soit par le biais des informations postées par le joueur lui-même ou encore par le biais d’outils technologiques tels que les cookies ou les pixels invisibles.

A cet égard, se pose la question du respect du principe de proportionnalité, lequel postule que ne peuvent être collectées que les données personnelles indispensables pour atteindre la finalité escomptée. Mme EYNARD conclut à la défaillance du principe de proportionnalité dans le cadre du jeu Pokémon GO. Elle explique cette défaillance en démontrant que les garde-fous qui auraient dû contenir la collecte des données n’ont pas joué leur office. Ainsi :

  • aucune limitation stricte de conservation des données dans le temps n’a été fixée,
  • le droit de suppression des données accordé au joueur est subordonné à la vérification de la légitimité de la demande par The Pokémon Company Inc.,
  • la multiplication du nombre de finalités conduit inévitablement à la possibilité de collecter une masse plus importante de données. A ce sujet, Mme EYNARD se demande si cette stratégie consistant à multiplier les finalités ne va pas à l’encontre de l’esprit même de la législation en matière de protection des données. Ne faudrait-il pas mettre en œuvre autant de traitements que de finalités ? De cette façon, il ne serait pas possible d’interconnecter les différentes données personnelles.
  • L’acceptation du profilage en tant que finalité par le règlement européen du 27 avril dernier (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, JOUE L119, 4 mai 2016) aboutit à ce que la collecte puisse concerner les données permettant de cibler finement la joueur, autrement dit toutes les données relatives au joueur.

Finalement, Mme EYNARD en déduit que c’est toute la structure du système de protection européen des données personnelles qui semble ici être mise à mal.

 L’intervention se termine sur une explication des raisons d’une telle collecte. Reprenant un article de M. DELCROIX (G. DELCROIX, « Comment les jeux se jouent-ils de nous ? Pokémon, économie des données et analyse comportementale », 7 août 2016), l’oratrice fait état de 3 moyens pour valoriser et monétiser les données personnelles, à savoir la publicité personnalisée, le paiement des fonctionnalités avancées du jeu et la sponsorisation de lieux pour attirer le consommateur dans un endroit et générer des actes d’achat. A travers ces éléments de réflexion, il s’agit évidemment de s’interroger sur la soi-disant « gratuité » du jeu.

Le problème majeur des données personnelles traité, un autre aspect fut abordé par Mme MENDOZA-CAMINADE, celui de la propriété intellectuelle confrontée à la réalité augmentée.

3 enjeux se sont dessinés : celui de la propriété intellectuelle générée par le jeu (avec l’énumération des nombreux éléments protégés, tant par le droit des marques, que par le droit d’auteur, conduisant à une valorisation de l’univers Pokemon, et à un monopole d’exploitation pour Pokemon Inc.), celui de la propriété intellectuelle refusée par le jeu au joueur, avec une phrase on ne peut plus explicite dans la politique de confidentialité de Pokemon Inc. « aucun droit de propriété ou autre sur quelque contenu que ce soit du service… », ce qui induit :

  • Interdiction de ventes de personnages par les joueurs
  • Aucun bénéfice possible pour les œuvres dérivées créées par des fans

Pokemon Inc bénéficie d’un monopole intégral sur tout l’univers Pokemon à la lecture des politiques de confidentialité.

Enfin, 3ème enjeu : la propriété intellectuelle menacée par le jeu. Si des entreprises ont réalisé des partenariats gagnants avec la société Pokemon Inc., de nombreux intérêts sont menacés au titre de la propriété intellectuelle. En effet, en plaçant des Pokestop dans/sur des bâtiments protégés, ou sur des murs sur lesquels ont été réalisées des œuvres de street art, les photos réalisées par les chasseurs de pokemon nient les droits des artistes. L’initiative de cette entorse au droit d’auteur revient à la société NIANTIC, avec l’utilisation de photographies de lieux déjà référencées dans le précédent jeu : Ingress.

L’exception de panorama ne s’applique pas en l’espèce, NIANTIC étant une personne morale et non physique.

En l’absence de formulaire en ligne permettant à des ayants droit de faire connaître leur volonté, des actions se préparent en Suède, en France et aux Etats-Unis.

Enfin, un aspect fondamental fut abordé par Mme CASTETS-RENARD, les risques d’atteinte au droit de la consommation. Plusieurs aspects peuvent être retenus :

  • Présence de clauses abusives dans les politiques de confidentialité : modification unilatérale du contrat par la société Pokemon Inc.
  • Consentement implicite à la collecte de données personnelles : il est demandé de recueillir le consentement expresse des utilisateurs pour tout traitement de données personnelles (cela se traduit normalement par l’acceptation des CGU)
  • Les choix offerts au consommateur pour défendre ses droits sont bafoués par NIANTIC : le choix du mode de défense (en l’espèce l’arbitrage), la juridiction (celle de l’Etat de Californie), ainsi que le droit applicable (droit californien) sont imposés par la société.

Sont alors rappelées les règles du droit de l’Union européenne (règlement Rome 1 et règlement Bruxelles I n° 44/2001 du 22 déc. 2000. Remplacé par le règlement Bruxelles I bis (Règlement (UE) n° 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012). Les articles 15 et 16 du règlement Bruxelles 1 bis permettent de protéger le consommateur en prévoyant la possibilité de désigner le juge de l’Etat membre sur le territoire duquel il a sa résidence habituelle, dès lors que le professionnel dirige ses activités vers cet Etat membre. Un faisceau d’indices est ici utilisé (CJUE, 7 déc. 2010, aff. C-585/08, Pammer et aff. C144/09, Hotel Alpenhof).

En outre, le juge français a pu s’estimer compétent dans un litige concernant un consommateur utilisant le réseau social de Facebook et qualifier d’abusive la clause de désignation de la loi et de la compétence juridictionnelle visant la loi et les juridictions californiennes (CA de Paris, 12 févr. 2016, l’Origine du monde, Gustave Courbet), à l’instar des conditions générales d’utilisation de Niantic pour le jeu Pokemon go.

Enfin, l’article 6§2 du règlement UE N° 593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (Rome I) donne la possibilité d’appliquer la loi d’autonomie (choix des parties) sous réserve de respecter les dispositions impératives de protection du consommateur (§2). Récemment, la Cour de justice a même estimé que le fait de ne pas rappeler cette protection en faveur des consommateurs et de n’évoquer que la loi des parties (le plus souvent la loi du professionnel), constitue une clause abusive dans la mesure où une telle clause induit le consommateur en erreur (CJUE, 28 juillet 2016, aff. C191/15).

Par ailleurs, avec l’utilisation d’objets connectés (smartphone mais aussi un bracelet connecté), se pose le problème de la collecte de données personnelles sans garanties suffisantes en matière de protection des données et des systèmes d’information. Les risques d’attaques sont alors évidents.

Enfin, la contribution des joueurs dans le perfectionnement de la technologie de la réalité augmentée est aussi un enjeu majeur, tant du point de vue du travail des contributeurs (digital labor selon Antonio A. Casilli) que de la compétitivité des entreprises. En attestent les partenariats conclus entre les géants de l’internet et les entreprises de jeux video pour l’amélioration de l’apprentissage profond (deeplearning) par intégration de quantités considérables de données fournies par les situations de jeux. Tel est par exemple le cas de l’accord conclu entre Deepmind (Google) et Blizzard pour l’amélioration de l’IA en temps réel par StarCraft II.

Pour conclure, Mme CASTETS-RENARD rappelle l’influence américaine sur le droit des contrats de l’économie numérique, ainsi que sur le droit des données personnelles visées par les « politiques de sécurité ». Ces questions sont liées à la culture juridique des Etats et témoignent d’enjeux géopolitiques entre les Etats-Unis et l’Union européenne. La réponse du droit de l’UE est d’étendre sa compétence au-delà du territoire de l’Union, comme en témoignent la compétence universelle du règlement Rome I sur la loi applicable aux obligations contractuelles et l’extraterritorialité du droit de l’UE (règlement 2016/679/UE). Pour autant, l’effectivité de ces mesures n’est pas garantie et de telles mesures ne suffiront certainement pas à se prémunir de l’influence du droit état-unien.

La table ronde suivante a approfondi les problématiques juridiques en commençant par l’intervention de M Emmanuel NETTER, avec le titre « Quelle occupation virtuelle de la propriété privée ? ». Cela revenait à se demander de quels recours disposent des propriétaires privés lorsqu’un point d’intérêt (Pokémon, pokéstop…) est placé sur leur fonds sans leur autorisation, provoquant des intrusions de la part de joueurs en chasse. Plus précisément, c’est la question des recours contre la société NIANTIC qui a été développée, puisque les actions susceptibles d’être exercées contre les joueurs ne présentent aucune originalité particulière. D’après M. NETTER, deux types d’actions méritent d’être examinés : celles fondées sur le droit propriété, et celles fondées sur le droit de la responsabilité civile délictuelle.

S’agissant du droit de propriété, d’abord, un rapprochement a été proposé avec la jurisprudence relative au droit à l’image des biens. En effet, utiliser les coordonnées GPS d’une propriété privée revient à en exploiter l’image, à en proposer une représentation. L’intervenant estime que dans une vision exigeante du droit à l’image des biens, même une utilisation non-graphique des coordonnées GPS (sous forme uniquement chiffrée) constitue une représentation de la propriété, qui devrait être soumise à autorisation lorsqu’elle est faite dans un but commercial. La jurisprudence récente retient cependant une vision affadie du droit à l’image des biens : ces limites ont été rappelées.

L’utilisation du droit de la responsabilité civile délictuelle a ensuite été proposée. Il pourrait s’agir d’une responsabilité pour faute, la faute consistant à placer un point d’intérêt sur la propriété d’autrui. La question pourrait même être posée de l’utilisation d’une responsabilité sans faute, sur le modèle de la responsabilité du fait des choses, la chose étant le point d’intérêt virtuel, voire l’algorithme l’ayant placé dans l’espace.

L’intervention d’Emilie DEBAETS a quant à elle permis de réfléchir au rôle de la police administrative à la suite des « arrêtés anti-Pokémons » comme celui de Bressoles interdisant l’implantation virtuelle de personnages Pokémons ou celui de Janvry interdisant la chasse aux Pokémons sur le territoire communal.

L’adoption de mesures face aux troubles à l’ordre public liés au jeu Pokémon Go peut se faire :

  • soit au titre de la police administrative générale, soit au titre de la police administrative spéciale (par ex. dans les cimetières, dans les gares,…).
  • en période normale comme en période d’état d’urgence.

Mais, pour être légales, ces mesures doivent être fondées et être proportionnées aux buts poursuivis, ce qui n’est pas le cas des « arrêtés anti-Pokémons », révélant ainsi une instrumentalisation des mesures de police administrative.

1ère condition : l’existence de fondements

Différents droits et libertés sont susceptibles d’être mis en cause :

  • Ceux des développeurs du jeu : la liberté du commerce et de l’industrie.
  • Ceux des joueurs :
    • En l’absence de « liberté de jouer », de telles interdictions se heurtent néanmoins à la liberté personnelle entendue comme le droit de ne pas subir des contraintes sociales excessives.
    • De plus, selon les mesures envisagées, elles sont aussi susceptibles de porter atteinte à la liberté d’aller et venir, la liberté de réunion et la liberté de manifestation.

Eu égard aux restrictions aux droits et libertés, ces interdictions ne peuvent donc qu’être fondées sur la prévention d’une atteinte à l’ordre public.

Si l’ordre public est une notion particulièrement large, les motifs des arrêtés anti-Pokémons sont en partie douteuses. Le maire de Janvry invoque la nécessité « d’assurer la sécurité et la santé mentale des gens vivant sur la commune ou la fréquentant » et « la fragilité intellectuelle de certaines personnes en totale addiction », le maire de Bressoles, « les dangers du jeu pour les jeunes populations » « face à la propagation contagieuse et anarchique du phénomène ».

En dépit du caractère incongru de ces motifs, de telles interdictions peuvent être fondées pour partie sur certaines composantes de l’ordre public matériel telles que la tranquillité et la sécurité publiques également invoquées. Elles pourraient aussi s’appuyer sur deux mouvements actuels de la police administrative qui conduisent à étendre considérablement son domaine :

  • l’obligation de protection de l’individu contre lui-même (CE, 4 juin 1975, Bouvet de la Maisonneuve ; CE, 27 octobre 1995, Commune de Morsang-sur-Orge, n° 136727).
  • la possibilité de prendre des mesures pour éviter que infractions pénales ne soient commises (CE, ord., 9 janv. 2014, n° 374508, Ministre de l’intérieur c/ Société Les Productions de la plume).

2ème condition : l’existence de limites

Les mesures de police administrative doivent également être adaptées, nécessaires et proportionnées au but poursuivi en période normale (CE, 19 mai 1933, Benjamin, n° 17413 17520) comme en période d’état d’urgence (CE, ord., 11 déc. 2015, M. C. Domenjoud, n° 395009).

L’autorité de police doit veiller à établir

  • la nécessité des interdictions susceptibles de viser le jeu Pokémon Go.

Celle-ci est appréciée à la lumière des circonstances locales. Peuvent ainsi être pris en compte : l’intensité de la circulation routière, l’indisponibilité des forces de police, le nombre de personnes attendues, l’insuffisance des mesures de sécurité,… De plus, le contexte de l’état d’urgence est susceptible d’influer sur cette appréciation comme l’illustre bien la jurisprudence du Conseil d’Etat relative aux restrictions des déplacements de supporters de foot pendant l’état d’urgence (CE, réf., 18 déc. 2015, Assoc. lutte pour un football populaire, Assoc. de défense et d’assistance juridique des intérêts de supporters, n° 395339 et n° 395349).

  • un rapport de proportionnalité entre ces interdictions et le but poursuivi.

Les motifs d’ordre public ne peuvent justifier que soit interdit en tout temps et en tous lieux de d’implanter des Pokémons, de les chasser. Les interdictions pour l’ensemble du territoire communal, comme cela était le cas des « arrêtés anti-Pokémons », ne peuvent donc être considérées comme proportionnées. Les interdictions ne peuvent concerner que les zones où la sécurité publique ou d’autres composantes de l’ordre public sont en jeu comme les zones fréquentées, les zones dangereuses, les zones de recueillement.

L’illégalité manifeste de « arrêtés anti-Pokémons » est révélatrice d’une instrumentalisation des mesures de police administrative. Elle ne saurait cependant remettre en cause l’utilité ponctuelle de telles mesures comme en attestent les demandes de retrait d’implantation virtuelle dans l’espace public (demande de la ministre française de l’éducation nationale, du ministre français de la Défense,…) ou encore l’annulation par les organisateurs de la chasse géante prévue au jardin du Luxembourg à la sortie du jeu.

M Valère NDIOR a étudié la question des droits étrangers face à la réalité augmentée.

L’étude comparée de plusieurs réactions d’autorités étrangères (forces de l’ordre, juges, etc.) face aux intrusions virtuelles ou physiques liées au jeu Pokémon Go ou à son prédécesseur Ingress, a permis de recenser des cas intéressants selon les cultures. Dans plusieurs pays, la présence d’éléments du jeu dans des lieux historiques, des lieux de culte ou des sites d’intérêt public a suscité des polémiques, ayant parfois donné lieu au déclenchement de procédures contentieuses. Plusieurs cas sont mentionnés, entre autres :

  • Intervention de l’autorité de régulation des télécoms en Thaïlande
  • Intervention d’autorités religieuses ou de particuliers, notamment en Inde pour demander le retrait d’œufs de Pokémon dans un lieu de culte pour cause d’incompatibilité : la religion en question prône le végétarisme ; la présence, fut-elle virtuelle, d’un œuf dans le temple, est donc considérée comme une profanation. Une public interest litigation a ainsi été initiée sur ce fondement par un particulier devant la Haute cour du Gujarat.
  • En Allemagne, mise en demeure adressée par l’Union fédérale des associations de défense des consommateurs (Verbraucherzentrale Bundesverband) à Niantic, courant juillet 2016, lui demandant de modifier plusieurs clauses contenues dans ses conditions générales d’utilisation.
  • Aux Etats-Unis, de nombreux litiges sont nés du fait du trouble occasionné par le jeu à des propriétaires, en les privant de la jouissance paisible de leur bien avec plusieurs arguments systématiquement évoqués par les requérants : 1/ il y a une absence de consentement préalable des propriétaires pour mettre à disposition leur bien et Niantic ne réagit pas à l’envoi du formulaire de demande de retrait 2/ il y a une atteinte manifeste à la jouissance paisible de leur droit de propriété 3/ il y a un profit indû généré par la société NIANTIC sur le bien d’autrui et 4/ la société NIANTIC fait manifestement preuve de mépris à l’égard des conséquences prévisibles du placement d’éléments du jeu dans le monde réel. Plusieurs affaires en cours sont mentionnées : Marder c. Niantic en juillet 2016 ; Dodich c. Niantic, en août 2016 ; Villas of Positano Condominium Ass’n c. Niantic en septembre 2016 ; au Canada, Schaeffer c. Niantic, Inc., en août 2016, etc.

Enfin, last but not least, Madame Laurence CALANDRI a abordé la problématique « Jeux vidéo et puissance publique : Régule-moi si tu peux !». En effet, si la question de la régulation des jeux vidéo par la puissance publique s’apparente  à un « serpent de mer », jusqu’ici l’état du droit national et européen se caractérise par une quasi-absence de régulation publique.

Pourtant plusieurs facteurs invitent à s’interroger sur la nécessité d’une régulation publique des  jeux vidéo : d’une part, les profondes mutations du marché et des pratiques du jeu vidéo illustrent une « gamification » de la société, l’entrée du jeu vidéo dans l’ère du 2.0 constituant un point de rupture majeur, et, d’autre part, le fait que la « benjamine » des industries culturelles soit devenue l’industrie dominante, le jeu vidéo devenant la première des pratiques culturelles devant les écrans. Or, dans cette « guerre des écrans », un hiatus se fait jour entre le régime juridique du jeu vidéo, extrêmes souple, et ceux du cinéma et de la télévision, beaucoup plus stricts, générant une concurrence déloyale.

Face à ce que d’aucuns présentent comme « les  nouveaux maîtres du monde », avec notamment l’entrée en force des GAFA dans le secteur du jeu vidéo, le besoin d’une régulation publique est de plus en plus exprimé comme en témoignent notamment plusieurs rapports d’autorités nationales de régulation (ex. Défenseur des droits, Enfants et écrans, 2012).

Reste qu’il demeure difficile de penser la régulation publique des jeux vidéo : outre que la légitimité même de l’intervention de l’Etat est remise en cause dans un secteur situé au confluent de multiples libertés publiques (liberté d’expression et de création, libertés économiques), il demeure difficile d’identifier la  « face cachée »  des jeux vidéo, leur nocivité, leurs dangers, comme en témoigne par exemple les controverses scientifiques sur la question de l’addiction aux jeux vidéo.

Face à l’ampleur des enjeux, une reflexion sur la redéfinition des modes de régulation est nécessaire comme nous y engage la loi n°2016-1321 du 7 octobre 2016 pour une République numérique (LRN) qui pose les premiers jalons d’un statut juridique des compétitions de jeux vidéo en ligne ou « e-sport » (art. 95- 100).

Mme Laurence CALANDRI explore et expose différentes pistes en partant d’un double constat.

Premier constat : le primat a été jusqu’ici accordé par les pouvoirs publics à une autorégulation privée. Or celle-ci est dans les faits plus « virtuelle » que réelle.

La régulation des jeux vidéo repose sur les principes constitutifs du Self and corégulation les professionnels du secteur formulant des « recommandations », des « codes de conduites », des « chartes éthiques », de leur propre initiative, qu’ils s’engagent à respecter  via des organisations et des procédures élaborées et pilotées par leurs soins. Ainsi, sur la question fondamentale de la protection des mineurs s’applique le système dit « PEGI », piloté au plan européen par un organisme privé, regroupant les professionnels du secteur, l’ISFE (Interactive Software Fédération of Europe), via deux « antennes » en charge de la classification (NICAM et VSC). Ce système est notamment relayé en France par un organisme privé, le Syndicat des éditeurs de logiciels de loisirs (SELL) en lien avec des associations familiales.

Or, ce système, en apparence sophistiqué, présente de nombreuses carences parmi lesquelles :

  • Un caractère non contraignant révélant le recours à la technique dite des « codes de conduite  purs » (F. Terre)
  • Un dispositif de double signalétique peu intelligible dont l’application repose totalement sur la responsabilité, non pas des professionnels, mais des consommateurs, en l’occurrence des parents
  • Une absence de transparence des procédures et organismes de contrôle et de recours dans le système européen « PEGI » révélant, en cas de litige, une sanction privée « virtuelle »
  • Une sanction publique certes théoriquement prévue en France (art. 33 de la loi n°98-468 du 17 juin 1998 sur la protection des mineurs mod.), mais qui, dans les faits, est inexistante.

Le bilan dressé par Mme Laurence CALANDRI est sévère : le droit français ne fait que « réceptionner » la classification ou la signalétique dite « PEGI », seul système homologué par le Ministre de l’Intérieur (art. 32 et s. de la loi n°98-468 du 17 juin 1998 relative à la prévention et à la répression des infractions sexuelles ainsi qu’à la protection des mineurs mod. et Décret n°2015-1251 du 7 octobre 2015 portant définition de signalétique), illustrant ainsi un processus larvé de privatisation de la protection des mineurs à l’ère du numérique.

Second constat : la régulation publique est, en l’état actuel du droit national, quasi-inexistante, illusoire. Elle doit etre « augmentée ». Madame Laurence CALANDRI relève d’abord les obstacles à un tel  processus : obstacle  conceptuel d’abord, tant les frontières du le jeu vidéo sont « poreuses » (bien culturel, travail, sport, jeu d’hasard et d’argent etc.), obstacle pratique ensuite : si le secteur du jeu vidéo n’est pas –ou peu- régulé par la puissance publique, c’est en raison d’une logique de soutien d’une industrie porteuse de croissance économique via notamment des aides financières pilotées par le CNC (art. 220 terdecies du CGI).

Dès lors, « augmenter » la régulation publique s’apparente à une véritable gageure ! Mme Laurence CALANDRI termine son intervention en livrant plusieurs scenarii sur les formes possibles d’une régulation publique « augmentée » du secteur. A la première question « Qui régule ? », elle envisage deux pistes principales. La première : recourir à une autorité administrative, traditionnelle (CNC) ou de régulation (CSA, ARJEL etc.), déjà présente et active dans des secteurs proches pour réguler le jeu vidéo. La seconde : créer une autorité sui generis, ayant la forme juridique de l’autorité de régulation indépendante (AAI ou API), dédiée spécifiquement aux jeux vidéo. A la seconde question « Quels principes de régulation ? »  Madame Laurence CALANDRI insiste sur le fait que l’incertitude scientifique en matière de nocivité et de dangers issus des jeux vidéo ne doit pas par principe exclure de toute régulation publique. Un « principe de précaution numérique », garant du bien-être ensemble dans le secteur, pourrait être mobilisé afin d’atténuer les effets potentiellement négatifs du principe d’innovation et de libre création. La France pourrait ici s’inspirer d’exemples étrangers, comme la Corée du Sud qui, pour lutter contre les excès de la pratique des jeux vidéo, a adopté une loi dite « Loi cendrillon » qui impose un couvre-feu pour les mineurs de moins de 16 ans entre minuit et 6 h du matin…

               Si les propos de cette dernière intervenante, notamment ceux sur la classification PEGI, ont provoqué quelques réactions, les gamers étant nombreux dans la salle, ceux de M CAZALBOU, volontairement provocateur, ont marqué le public par la virulence des ses propos contre les sociétés de création de jeux, et leur irrespect des règles de droit.

               Faisant la synthèse des propos tenus par les intervenants de la journée d’étude il a tenu a souligner deux points :

  • le premier tient au fait que le droit est loin d’être désarmé pour appréhender des mécanismes nouveaux tels que, mais pas exclusivement, Pokemon Go. En effet, la sortie de ce jeu a été l’occasion de mobiliser l’ensemble des branches du droit. Du droit pénal au droit administratif en passant par le droit de la propriété intellectuelle et le droit civil, la plupart des problèmes posés par la réalité augmentée semblent pouvoir trouver une solution au travers de mécanismes juridiques classiques sans rendre nécessaire une trop grande adaptation ou un effort d’imagination trop important,
  • le second tient au fait que malgré l’existence de règles pour encadrer ce phénomène, l’argument de la nouveauté du phénomène et celui de l’inadaptation ou de l’archaïsme du droit sont souvent utilisés par des sociétés privés qui tentent d’en éviter l’application. Les interventions de l’après midi ont ainsi été l’occasion de mettre en lumière le peu de cas qui est fait de la protection des données personnelles par certains des opérateurs en cause mais également du manque d’articulation entre leur business plan et les règles de droit qu’ils sont pourtant sensé respecter. En effet, le risque juridique ne semble pas faire partie des préoccupation principales de ces derniers qui laissent les problèmes survenir pour ne les traiter, a posteriori, qu’à travers des procédures de contestation créées par eux-même et, visiblement, … pour eux mêmes.

Le propos est conclus par la crainte de voir ces atteintes aux souverainetés juridiques se répéter du fait de sociétés privées se considérant suffisamment puissantes pour imposer leur volonté.

Ce colloque a été une source de réflexion importante, tant en terme de contenu qu’en terme de méthodologie. Il aurait été en effet inconcevable de traiter une problématique aussi large du simple point de vue du droit et nous remercions les organisateurs d’avoir réuni des spécialistes d’horizon aussi variés pour nous apporter des éléments aussi complémentaires.

 

L’acquisition de droits de propriété intellectuelle par des établissements culturels, disposition obscure de la loi Valter

La loi n°2015-1779 du 28 décembre 2015, dite loi Valter a transposé dans le cadre réglementaire français la directive 2013/37 de l’Union européenne du 13 juin 2013 modifiant la directive 2003/98/CE du 17 novembre 2003, dite directive PSI (Public Sector Information). Cette loi, dont les principes ont été repris par la loi pour une République numérique du 7 octobre 2016, pose les nouveaux principes d’utilisation de données publiques détenues par les administrations dans le cadre de la politique open data. Les données détenues par les administrations sont une mine d’informations utilisables par des tiers, notamment à des fins commerciales. En effet, dans leurs missions d’intérêt général les administrations collectent, trient et créent des données à grande échelle fournissant des données précieuses sur des domaines relevant souvent de sa compétence exclusive. On pense naturellement au domaine de la santé, avec un secteur public très organisé et un contrôle étatique poussé.

Dans le domaine culturel, les données détenues par les administrations sont elles-aussi considérables, comme l’évoque le considérant 10 de la directive du 13 juin 2013 : « Les bibliothèques, musées et archives détiennent, en quantité importante, de précieuses ressources d’informations du secteur public, notamment depuis que les projets de numérisation ont multiplié la quantité de matériel numérique relevant du domaine public. Ces collections de notre patrimoine culturel et les métadonnées qui y sont associées constituent une base potentielle de développement de produits et services à contenu numérique et ouvrent d’immenses possibilités de réutilisation innovante dans des secteurs tels que l’enseignement et le tourisme. L’élargissement des possibilités de réutilisation du matériel culturel public devrait entre autres permettre aux entreprises de l’Union d’exploiter le potentiel de ce matériel et contribuer à la croissance économique et à la création d’emplois. »

Nous trouvons la dimension économique dès la création de copies numériques. En effet, c’est la présentation de la loi par Mme Valter qui nous permet de comprendre l’esprit de la loi. Le gouvernement, à l’instar des autres pays européens, souhaite instaurer une balance entre partenariat avec des acteurs privés et sauvegarde d’intérêt général sur des œuvres tombées dans le domaine public. Or ces partenariats sont nécessaires pour effectuer des missions de numérisation des documents conservés par les établissements culturels, opération trop coûteuse et trop technique pour se passer de l’expertise de géants du domaine (on pense aux différents contrats passés entre Google et des bibliothèques ou musées[i]), et la mission de conservation et de diffusion de ces établissements. Cela se traduit par une période d’exclusivité accordée au partenaire privé pour lui permettre de rentabiliser ses investissements avant que l’établissement culturel puisse exploiter les numérisations obtenues, avec la remise d’une « copie gratuite des données numérisées. » La période d’exclusivité doit donc être d’une durée la plus courte possible, afin de permettre de réintégrer ces œuvres tombées dans le domaine public au plus vite, dans le cadre d’un accès gratuit et ouvert au plus grand nombre. L’article 4 de la loi 2015-1779 propose une période d’exclusivité de 10 ans maximum, avec dérogation en cas de « numérisation de ressources culturelles [ii]».

Devant les retombées financières escomptées, on peut comprendre l’empressement de certains acteurs à se précipiter sur les documents déjà numérisés. Et le mouvement d’ouverture pour les institutions cultuelles est d’autant plus rapide qu’il est récent : en 2003, les établissements culturels n’étaient pas concernés par l’open data : bibliothèques (de lecture publique et universitaires), archives, musées étaient dispensés d’ouvrir au public leurs données par l’effet de l’article 11 de la loi CADA. Avec cet article, en pouvant fixer les conditions dans lesquelles les documents détenus par les « établissements et institutions d’enseignement et de recherche » et les « établissements, organisme ou services culturels » devaient être diffusés, de nombreux établissements relevant ce ces catégories ont choisi de ne rien diffuser.  Cette exception a disparu avec la réforme de 2013. Les établissements culturels sont soumis au principe d’ouverture des données publiques. Dans l’examen des données concernées par la directive, nous trouvons :

  • Des jeux d’information détenus par l’administration, sous réserve de « rendre impossible l’identification des personnes ». Il ne faut pas pouvoir identifier une personne en recoupant des informations.
  • Des documents issus de la recherche détenus par les chercheurs sous réserve de droits d’auteur, avec un mécanisme complexe posé par l’article 30 de la loi pour une République numérique
  • Des bases de données, visées à l’article 11 de la loi pour une république numérique

Quand les établissements culturels ne font pas appel à des prestataires extérieurs pour numériser leur fond, la logique économique s’inverse : dans l’exposé des motifs pour le projet de loi relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public, la présentation de l’article 3 met à jour deux dérogations au principe de gratuité de la réutilisation des informations publiques en instaurant des redevances. Parmi ces dérogations, figure celle de fixer des redevances « lorsque la réutilisation porte sur des documents issus des opérations de numérisation des fonds et collections des bibliothèques, y compris des bibliothèques universitaires, des musées et archives, dont ces établissements supportent le coût. Les principes généraux sont les mêmes que ceux énoncés précédemment mais, dans ce cas, le montant des redevances peut également prendre en compte les coûts de conservation et d’acquisition des droits de propriété intellectuelle. » Il est surprenant de voir des établissements comme les bibliothèques en capacité de percevoir des redevances pour supporter le coût « d’acquisition des droits de propriété intellectuelle ». De quels droits pourraient-ils s’agir ? La loi Valter aurait-elle ajouté  des droits de propriété aux établissements publics culturels dans leur ensemble ?

La gestion des droits en bibliothèque est déjà traitée par un système de prélèvement sur les ventes redistribué via un organisme de gestion, la SOFIA, mais il s’agit de rémunération des auteurs et ayant-droits qui voient leurs œuvres louées dans les bibliothèques.

Il faut chercher dans la présentation du projet de loi de Mme Valter devant les députés[iii] et dans la directive du 13 juin 2013 pour obtenir des éléments de réponse sur ce point. En effet, selon la directive :

  • Dans le considérant 9, il est indiqué : « les documents à l’égard desquels des tiers détiennent des droits de propriété intellectuelle devraient être exclus du champ d’application de la directive 2003/98/CE. Si un tiers était le titulaire initial des droits de propriété intellectuelle sur un document détenu par des bibliothèques, y compris des bibliothèques universitaires, des musées et des archives, et si la durée de protection de ces droits n’a pas expiré, ledit document devrait, aux fins de la présente directive, être considéré comme un document à l’égard duquel des tiers détiennent des droits de propriété intellectuelle. » Donc ici, les titulaires des droits d’auteur sont toujours les auteurs ou leurs ayant-droits, donc point d’open data, d’où exclusion du champ d’application de la directive.
  • On peut penser à des frais inhérents à la recherche d’ayant droits pour des œuvres orphelines, mais on s’écarte du champ des œuvres visées expressément par la loi Valter : œuvres tombées dans le domaine public et diffusées/conservées par les institutions culturelles.

Le manque de clarté de certaines dispositions ainsi que les failles déjà révélées de cette loi[iv] nous font craindre les plus grandes difficultés pour les administrations devant se conformer au principe de l’open data dans les années à venir. En effet, si des difficultés apparaissent dans des domaines couverts par les établissements culturels ou de recherche, qu’en est-il pour les administrations devant gérer des informations hautement sensibles comme les établissements de santé ?

La CNIL a proposé la mise en place d’un « pack de conformité »[v] pour éclairer les administrations à ouvrir leurs données sans se compromettre. La mission s’avère en effet ambitieuse et complexe, tant le passage du secret à l’ouverture semble s’opérer dans l’improvisation la plus totale. Les jeux de données déjà présents sur le site Etalab montrent déjà la difficulté de fournir des données complètes, accessibles et exploitables.

[i] http://www.lemonde.fr/culture/article/2010/01/12/numerisation-des-livres-les-preconisations-du-rapport-tessier_1290400_3246.html

[ii] https://www.actualitte.com/article/monde-edition/numerisation-google-avait-renonce-a-25-ans-d-exclusivite-sur-lyon/22887

[iii] http://www.assemblee-nationale.fr/14/projets/pl3037.asp

[iv] https://scinfolex.com/2016/12/13/une-enorme-faille-dans-la-loi-valter-sur-les-donnees-culturelles/

[v] https://www.nextinpact.com/news/101054-open-data-cnil-prepare-pack-conformite-a-destination-acteurs-publics.htm

Présentation de la loi Lemaire

DataLawyer, le Droit 2.0

Genèse du texte Pour une République numérique

Cette loi est issue d’un long processus de concertation qui émane du Gouvernement. En effet, le projet commence à voir le jour entre octobre 2014 et février 2015 lorsque, suite à la demande formulée par le Gouvernement, le Conseil National du Numérique rend une consultation contenant près de 4 000 contributions.

A partir de là, le Gouvernement a évalué les points jugés particulièrement importants et devant impérativement faire l’objet d’une loi : il met en place sa stratégie numérique.

La troisième étape est probablement celle qui a apporté une certaine originalité au sein du processus législatif concernant le projet de loi. Pourquoi ? Parce que dans le but de coller avec le thème du projet de loi, le Gouvernement a souhaité donner la parole aux citoyens à travers une démarche éminemment moderne : passer par le numérique. Du 26 septembre 2015 au 18…

View original post 6 536 mots de plus

Arrêt de la Cour de justice de l’Union européenne du mercredi 21 décembre : “Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques” — Laurine Soule – Juriste Digital

Dans un arrêt, la Cour de justice de l’Union européenne considère que les États ne peuvent pas imposer une « conservation généralisée et indifférenciée » des données de connexion. Celle-ci doit se faire de façon ciblée, limitée et avec des garde-fous. L’accès aux données de connexion ne peut pas être « open bar ». Tel est, en […]

via Arrêt de la Cour de justice de l’Union européenne du mercredi 21 décembre : “Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques” — Laurine Soule – Juriste Digital

IOT : Great opportunities, big issues

surveillance-camera-573532_960_720 (1).jpg

L’internet des objets envahit notre environnement immédiat sous toutes ses formes: voitures « autonomes », montres connectées, réfrigérateurs communicants… Ces outils, par le confort qu’ils procurent, deviennent nos appendices numériques. Le développement des objets connectés (IOT pour Internet Of Things) représente un marché gigantesque pour de nombreux acteurs, soit déjà dominants dans le digital (Google, Apple, Tesla…), soit en développement (Naïo, Capturs, Flipr…). Toutefois, le développement rapide et important de ces objets induit d’énormes problèmes de cybersécurité.

Quelques exemples dans l’actualité

La plus connue des failles liée à l’internet des objets, fut un déni de service d’une ampleur exceptionnelle, privant une partie des Etats-Unis de plusieurs services tels que Twitter ou Netflix pendant plusieurs heures (une éternité). Il s’agit de l’attaque DDoss contre DynDNS[i]. DynDNS est une société proposant d’héberger les serveurs DNS de plusieurs sociétés. Les serveurs DNS sont en quelque sorte les facteurs d’internet : ils permettent de lier une suite numérique à un nom de domaine et donc à permettre de trouver le site lorsqu’une requête est lancée. Si le serveur DNS est touché, il est donc compliqué d’afficher les pages demandées. Les attaques contre les serveurs DNS ne sont pas récentes, ce qui est intéressant dans cette attaque, est qu’elle a été initiée principalement par des caméras connectées. L’hébergeur français OVH avait été victime quelques jours auparavant d’une attaque similaire[ii]. Le phénomène est donc installé et il va forcément croître.

Comment est-il possible de transformer des objets en menaces pour internet ?

Il ne s’agit pas de n‘importe quel objet, lais des objets connectés. Des caméras qui vous permettent de contrôler votre maison à distance, votre système domotique qui vous permet d’allumer le chauffage avant d’entrer dans votre maison, votre montre qui vous informe en permanence qrâce à des synchronisations avec votre cloud… Ils sont donc relié à internet, ils ont un micro-processeur, on peut les hacker. Ils sont d’autant plus facilement piratés qu’ils sont faiblement protégés. Le site cybereason a dévoilé avoir découvert deux vulnérabilités zero day qui affecterait des centaines de milliers de caméras[iii]. Une vulnérabilité zero day est une vulnérabilité qui n’a fait l’objet d’aucun correctif, en clair c’est une nouvelle faille utilisée par des hackers sans réponse des sociétés commercialisant ou protégeant les objets. Parmi ces failles, les auteurs du site ont été en capacité d’accéder au mot de passe permettant de contrôler la caméra.

Comment se protéger ?

Pour les particuliers :

Si les caméras sont utilisés pour rejoindre l’armée constituant les botnets à l’origine d’attaques DDoss, elles peuvent être détournées pour d’autres manœuvres plus intrusives ou inquiétantes contre leurs propriétaires. Une bonne protection pour un propriétaire d’objets connectés revient à adopter une attitude vigilante de manière générale. Les règles de base :

  • La plupart des objets demandent un mot de passe. Ne choisissez pas le même mot de passe que pour votre messagerie personnelle ou votre compte en banque
  • Renseignez-vous sur la qualité du produit que vous allez acheter. Y-a-t-il une documentation détaillée vous donnant des garanties quant à la sécurité des données personnelles ? Est-ce un produit ayant déjà fait parler de lui (en bien / en mal)[iv].

Pour les professionnels :

Vous proposez des objets connectés que vous souhaitez mettre à la vente ? On sait que la sécurisation de ce nouvel environnement prendra des années, comme la sécurisation des sites internet a pris des années, avec une accumulation de bonnes pratiques et de retour sur expériences. En attendant, il vous faut protéger les données personnelles de vos clients. Plusieurs pistes sont à méditer :

  • Quelles données personnelles détenons-nous et comment devons-nous les protéger ? Pour savoir au mieux quelles sont les limites dans la collecte des données personnelles, il est fortement recommandé de vous faire conseiller par un juriste spécialiste du domaine. Collecter des informations médicales pendant 10 ans n’est pas la même chose que de tracer les trajets d’un animal de compagnie… et n’impliquera pas la même responsabilité.
  • Pour les attaques de serveurs DNS, il est recommandé d’avoir son propre serveur DNS.
  • Pour les petites structures, tous les serveurs peuvent être loués à d’autres entités. Il est alors recommandé d’utiliser plusieurs fournisseurs de service pour les noms de domaine. C’est l’idée de redondance, ou de manière plus triviale de ne pas « mettre tous ses œufs dans le même panier »[v].

Et sinon, peut-on continuer d’acheter des objets connectés sans risque ?

Cette question reviendrait à se demander si on peut acheter des voitures sans risquer d’avoir un accident. L’achat d’objet correspond à un besoin ou une envie, et les objets connectés sont proposés car ils répondent à ces besoins nouveaux. Il faut donc miser sur une attitude responsable des producteurs et des consommateurs pour améliorer la sécurité des systèmes connectés. A noter que les problèmes d’attaques DDoss par les objets connectés figurent parmi les thèmes principaux développés dans un rapport remis en décembre au président OBAMA[vi].

[i] http://www.zdnet.fr/actualites/dyndns-face-aux-objets-connectes-l-internet-americain-a-tremble-39843692.htm

[ii] http://www.zdnet.fr/actualites/ovh-noye-par-une-attaque-ddos-sans-precedent-39842490.htm

[iii] https://www.cybereason.com/zero-day-exploits-turn-hundreds-of-thousands-of-ip-cameras-into-iot-botnet-slaves/

[iv] https://krebsonsecurity.com/2016/12/researchers-find-fresh-fodder-for-iot-attack-cannons/#more-37183

[v] http://www.zdnet.fr/actualites/attaque-contre-dyndns-ddos-et-iot-comment-se-proteger-reponses-d-experts-39843742.htm

[vi] https://www.nist.gov/sites/default/files/documents/2016/12/02/cybersecurity-commission-report-final-post.pdf

Pokmon go et le droit, compte rendu de colloque

Ce jeudi 15 décembre, nous avons eu l’occasion et le bonheur de participer au colloque organisé par plusieurs laboratoires des universités toulousaines (IRDEIC, IDETCOM, CDA, IDP, IMH) traitant du rapport entretenu entre le jeu Pokémon Go et les règles de droit en France et dans le monde. En effet, ce jeu, comme d’autres utilisant le principe de la réalité augmentée, soulève de nombreuses questions tant au niveau des conditions d’utilisation des données personnelles, qu’au niveau de la propriété intellectuelle, ou encore concernant la violation des règles étatiques ou privées.

Retour sur quelques unes des interventions.

Tout d’abord, il importe de situer le jeu dans sa réalité technologique, dans son rapport aux joueurs, et dans son rapport à l’environnement. C’est ce qu’a proposé M JP JESSEL, de l’IRIT, en précisant que Pokemon Go se compose d’un milieu numérique propre : jeu vidéo + application mobile + réseau social … Ce système combinatoire se retrouve également dans l’interface du jeu mobile : imbrication du contexte physique et numérique.

Les principes du jeu sont basés sur des composantes techniques indispensables au bon déroulement des recherches menées par les chasseurs : géolocalisation des joueurs, représentation stylisée de l’environnement, mais également incitation à aller dans certains endroits, et surtout joueurs suivis ou, pour reprendre les termes de M JESSEL, « trackés ». C’est-à-dire un marquage des joueurs par l’application, et donc par les autres joueurs. L’accès à ses données personnelles par l’entreprise mais également par des tiers est donc un principe incontournable du jeu.

Les perspectives industrielles de la réalité augmentée ont été évoquées grâce à l’intervention de M Xavier CROUILLES de la société InnerSense, qui propose de la visualisation 3D d’éléments à installer chez soi par l’utilisation de tablettes.

 

Ces 2 interventions ont permis de poser les enjeux techniques, qui, comme à chaque innovation, soulèvent la question de l’encadrement des pratiques. La suite des interventions s’est focalisée sur les problématiques juridiques liées au jeu Pokémon Go et plus largement à l’encadrement des jeux vidéo et à la régulation accompagnant leur mise sur le marché.

 

Trois juristes ont ouvert ce volet : Mme Jessica EYNARD, Mme Céline CASTETS-RENARD et Mme Alexandra MENDOZA-CAMINADE.

dav

De gauche à droite : Mme EYNARD, Mme CASTETS-RENARD, Mme MENDOZA-CAMINADE

Mme EYNARD, en s’intéressant à la politique de confidentialité du jeu, a mis au jour un problème de taille : il existe 2 politiques de confidentialité, traitant toutes les deux du traitement des données personnelles : celle de NIANTIC (société développant le jeu) et celle de The Pokemon Company Inc. (détentrice des licences sur Pokémon). C’est par un mouvement de va et vient entre ces 2 textes que plusieurs problèmes majeurs quant au droit des données personnelles apparaissent, dont notamment :

  • Transfert des données dans des pays n’ayant pas la même politique de protection des données personnelles
  • Les données collectées vont au-delà de celles annoncées officiellement sur la politique de confidentialité de NIANTIC, notamment des photos.

La liste d’exemples donnée par Mme EYNARD l’incite donc à se demander à quel moment ces sociétés respectent le principe de proportionnalité pourtant central dans le traitement des données personnelles : les données collectées doivent l’être dans le seul but d’atteindre un objectif. Or en l’espèce il y a manifestement distorsion entre le but recherché et l’avalanche des données collectées.

Par ailleurs, NIANTIC multiplie les finalités recherchées par le jeu afin de pouvoir collecter toujours plus de données, l’occasion pour l’oratrice de revenir sur l’article de M DELCROIX traitant de la « gratuité » du jeu.

 

Le problème majeur des données personnelles traité, un autre aspect fut abordé par Mme MENDOZA-CAMINADE, celui de la propriété intellectuelle confrontée à la réalité augmentée.

3 enjeux se sont dessinés : celui de la propriété intellectuelle générée par le jeu (avec l’énumération des nombreux éléments protégés, tant par le droit des marques, que par le droit d’auteur, conduisant à une valorisation de l’univers Pokemon, et à un monopole d’exploitation pour Pokemon Inc.), celui de la propriété intellectuelle refusée par le jeu au joueur, avec une phrase on ne peut plus explicite dans la politique de confidentialité de Pokemon Inc. « aucun droit de propriété ou autre sur quelque contenu que ce soit du service… », ce qui induit :

  • Interdiction de ventes de personnages par les joueurs
  • Aucun bénéfice possible pour les œuvres dérivées créées par des fans

Pokemon Inc bénéficie d’un monopole intégral sur tout l’univers Pokemon à la lecture des politiques de confidentialité.

Enfin, 3ème enjeu : la propriété intellectuelle menacée par le jeu. Si des entreprises ont réalisé des partenariats gagnants avec la société Pokemon Inc., de nombreux intérêts sont menacés au titre de la propriété intellectuelle. En effet, en plaçant des Pokestop dans/sur des bâtiments protégés, ou sur des murs sur lesquels ont été réalisées des œuvres de street art, les photos réalisées par les chasseurs de pokemon nient les droits des artistes. L’initiative de cette entorse au droit d’auteur revient à la société NIANTIC, avec l’utilisation de photographies de lieux déjà référencées dans le précédent jeu : Ingress.

L’exception de panorama ne s’applique pas en l’espèce, NIANTIC étant une personne morale et non physique.

En l’absence de formulaire en ligne permettant à des ayants droit de faire connaître leur volonté, des actions se préparent en Suède, en France et aux Etats-Unis.

 

Enfin, un aspect fondamental fut abordé par Mme CASTETS-RENARD, les risques d’atteinte au droit de la consommation. Plusieurs aspects peuvent être retenus :

  • Présence de clauses abusives dans les politiques de confidentialité : modification unilatérale du contrat par la société Pokemon Inc.
  • Consentement implicite à la collecte de données personnelles : il est demandé de recueillir le consentement expresse des utilisateurs pour tout traitement de données personnelles (cela se traduit normalement par l’acceptation des CGU)
  • Les choix offerts au consommateur pour défendre ses droits sont bafoués par NIANTIC : le choix du mode de défense (en l’espèce l’arbitrage) et la juridiction (celle de l’Etat de Californie) sont imposés par la société

Par ailleurs, avec l’utilisation d’objets connectés (notamment un bracelet connecté), se pose le problème de la collecte de données personnelles sans garanties suffisantes en matière de protection.

 

La table ronde suivante a approfondi les problématiques juridiques en commençant par l’intervention de M Emmanuel NETTER, avec le titre « Quelle occupation virtuelle de la propriété privée et publique ». On peut retenir de cette intervention plusieurs problèmes liés à des problèmes techniques et de droit classique :

  • L’algoritme de NIANTIC peut se tromper et placer des pokemons où il ne devrait pas.
  • Plusieurs arrêts de la Cour de cassation définissent plusieurs aspects du droit de propriété , notamment l’arrêt de la 1ère chambre civile du 10 mars 1999 qui pose que le propriétaire a le seul droit d’exploiter son bien sous quelque forme que ce soit. On peut donc agir contre des représentations ou photographies ou dessins représentant son bien. On peut donc se demander s’il est possible d’agir contre la société NIANTIC pour des représentations de biens de particuliers dans la carte Pokemon Go, sans leur consentement.
  • Selon l’article 1240 du Code civil, est-il possible d’envisager une responsabilité pour faute de la société NIANTIC, ou une responsabilité du fait des choses, en considérant que la société est responsable du fait de son algoritme.

 

L’intervention d’Emilie DEBAERTS a quant à elle permis de considérer le rapport entre le jeu, l’ordre public, et l’état d’urgence, en partant du cas particulier de l’arrêté anti-Pokemon Go de la mairie de Bressolles.

 

M Valère NDIOR a étudié la question des droits étrangers face à la réalité augmentée.

L’étude comparée de plusieurs réactions d’Etats face aux intrusions virtuelles ou physiques liées au jeu a permis de recenser des cas intéressants selon les cultures :

  • Intervention de l’autorité de régulation des télécoms en Thaïlande
  • Intervention d’autorités religieuses en Inde pour demander le retrait d’un pokemon en forme d’œuf dans un temple religieux pour cause d’incompatibilité : la religion en question prône le végétarisme ; la présence, fut-elle virtuelle, d’un œuf dans le temple, est donc considéré comme une profanation
  • Aux Etats-Unis, de nombreux litiges sont nés du fait du trouble occasionné par le jeu à des propriétaires, en les privant de leur jouissance paisible de leur bien avec 3 arguments systématiquement évoqués : 1/ il y a une absence de consentement préalable des propriétaires pour mettre à disposition leur bien 2/ il y a une atteinte manifeste à la jouissance paisible de leur droit de propriété 3/ il y a un profit indus généré par la société NIANTIC sur le bien d’autrui et 4/ la société NIANTIC agit manifestement contre les intérêts de la société dans son ensemble.

 

Enfin, last but not least, Laurence Calandri a abordé la problématique « jeux vidéo et puissance publique, régule-moi si tu peux ». En effet, comme beaucoup de secteurs économiques, celui des jeux vidéo est sujet à ce que l’on nomme la « soft law », c’est-à-dire la régulation. Ceci se traduit dans d’autres secteurs par l’existence d’institutions créées spécialement pour réguler le secteur visé : ARCEP pour les télécommunications, CSA pour l’audiovisuel… Or il n’existe pas d’équivalent pour le jeu vidéo : ce média est devenu le mass média le plus important en termes de public, mais aussi en termes de revenus, devant le cinéma et la télévision. Or, on peut constater que ces 2 derniers médias sont régulés et surveillés étroitement par des autorités de tutelle, et que le jeu vidéo bénéficie d’un vide juridique lui permettant un essor sans réel contrôle.

Le problème du jeu vidéo réside dans la difficulté à le définir juridiquement : création pluridisciplinaire, il peut se rapprocher autant d’une œuvre littéraire que graphique, sonore, ou bénéficier d’un statut particulier comme pour les logiciels.

Son développement incontrôlé s’observe surtout selon Mme CALANDRI à l’étude de la classification PEGI, proposée par l’ISFE (Interactive Software Federation of Europe) qui souffrirait des maux suivants :

  • Dispositif non contraignant
  • Parents surinvestis par les préconisations de l’IFSE
  • Problème entre la classification et les contenus, avec des pictogrammes peu intelligibles, ou sous-évaluant l’impact de certains contenus sur des enfants trop jeunes
  • Les instances de régulation « indépendantes » créées par l’ISFE, ont un mode de composition et un fonctionnement tellement opaque que l’on peut fortement douter de leur caractère indépendant.

Le problème majeur, selon l’intervenante, résiderait dans les rapports entre pouvoirs publics et jeux vidéo, ces derniers étant largement soutenu par les fonds publics. En effet, par son caractère désormais dominant, le jeu vidéo représente de formidables perspectives de développement économique et d’embauche. Ce qui expliquerait le laxisme actuel de l’Etat.

Mme CALANDRI a alors conclu son intervention en livrant 2 possibilités offertes aux pouvoirs publics pour réguler le secteur en France : désigner une des autorités déjà présente et active dans des secteurs proches pour réguler le jeu vidéo, ou créer une autorité sui generis.

 

Si les propos de cette dernière intervenante, notamment ceux sur la classification PEGI, ont provoqué quelques réactions, les gamers étant nombreux dans la salle, ceux de M CAZALBOU, volontairement provocateur, ont marqué le public par la virulence des ses propos contre les sociétés de création de jeux, et leur irrespect des règles de droit, la cible principale de ses propos étant la société NIANTIC.

Il ressort de son intervention la crainte de voir ces atteintes aux souverainetés juridiques se répéter du fait de sociétés privées se considérant suffisamment puissantes pour imposer leur volonté.

 

Ce colloque a été une source de réflexion importante, tant en terme de contenu qu’en terme de méthodologie. Il aurait été en effet inconcevable de traiter une problématique aussi large du simple point de vue du droit et nous remercions les organisateurs d’avoir réuni des spécialistes d’horizon aussi variés pour nous apporter des éléments aussi complémentaires.

Une énorme faille dans la loi Valter sur les données culturelles ? — – S.I.Lex –

La loi pour une République numérique (dite Loi Lemaire) va avoir en France un impact important en matière d’ouverture des données publiques, puisqu’elle institue un principe d’Open Data par défaut, dont j’ai déjà eu l’occasion de parler plusieurs fois dans ce blog (ici ou là). Mais ceux qui ont suivi attentivement cette évolution savent qu’il […]

via Une énorme faille dans la loi Valter sur les données culturelles ? — – S.I.Lex –