Metavers, droit d’auteur et données personnelles : vers une alchimie numérique ?
Dans le prolongement de la première analyse prospective concernant l’impact du droit des marques sur le nouvel environnement numérique proposé par le désormais célèbre Métavers, il convient désormais de s’interroger au titre du présent article sur la place prépondérante qu’occuperont le droit d’auteur (I) ainsi que le droit des données personnelles (II).
Au travers de ces deux problématiques, se pose également la question de la responsabilité du « fournisseur de services numériques » nouvellement développée par le Digital Service Act et qu’il convient également d’apprécier à l’aune d’un nouveau régime juridique (III).
L’impact du métavers sur le terrain du droit d’auteur
L’impact du métavers sur le droit d’auteur doit être envisagé au regard de la façon dont peuvent être commis des actes de contrefaçon au sein du métavers (i) et de son impact sur les contrats de cession et de licence de droit d’auteur (ii).
L’impact du métavers sur les actes de contrefaçon de droit d’auteur
La contrefaçon de droit d’auteur au sein du métavers doit être appréhendée à travers la notion d’interopérabilité qu’elle implique dans ces nouveaux environnements.
En effet, comme mentionné précédemment, le métavers repose sur l’interopérabilité permettant de transférer le contenu d’un univers à un autre.
À titre d’exemple, l’utilisateur pourrait exploiter de nouveau l’avatar qu’il arborait déjà dans un précédent univers afin d’en découvrir un nouveau.
Or, un tel acte est susceptible de constituer un acte de contrefaçon au sens de l’article L.335-2 du code de la propriété intellectuelle dès lors qu’il a été réalisé sans le consentement du titulaire des droits.
Ce faisant, la possibilité pour un utilisateur de se prévaloir de l’interopérabilité promise par le métavers en important l’avatar qu’il utilise dans un univers afin de l’exploiter dans un autre, suppose l’existence préalable d’une licence ainsi que d’un accord commercial entre les univers concernés sur lesquels la mise en œuvre de l’interopérabilité est envisagée.
La contrefaçon de droit d‘auteur au sein du métavers peut également être appréhendée à travers la numérisation d’œuvre du monde physique dans ce nouvel écosystème numérique.
En effet, de nombreux univers offriront la possibilité de réaliser une telle numérisation à l’instar du projet « cryptovolox », lequel offre à l’utilisateur la possibilité d’importer n’importe quel objet du monde physique afin de les numériser sur des parcelles numériques.
Or, l’acte consistant en la numérisation d’une œuvre physique au sein du métavers, en l’absence de consentement de l’auteur de l’œuvre physique, constitue nécessairement un acte de contrefaçon de droit d’auteur au sens de l’article L.335-3 du Code de la propriété intellectuelle.
Dans une telle hypothèse, un tel acte portera atteinte à la fois au droit de reproduction de l’auteur prévu par l’article L122-3 du Code de propriété intellectuelle à raison de la reproduction sur un support non autorisé, et à la fois au droit de représentation de l’auteur prévu par l’article L122-1 du code de la propriété intellectuelle à raison du caractère public du métavers.
Loin de se cantonner à la seule atteinte aux droits patrimoniaux, une telle numérisation serait également susceptible de constituer une atteinte au droit moral de l’auteur.
Ainsi et conformément à la jurisprudence constante en la matière[1], la mauvaise qualité de la numérisation d’une œuvre constitue une atteinte à l’intégrité de l’œuvre, et ce même si ladite numérisation aurait été préalablement autorisée par l’auteur.
Nonobstant la qualité de la numérisation, l’atteinte au droit moral de l’auteur au sein du métavers peut également être envisagée comme une atteinte à l’esprit de l’œuvre.
Une telle atteinte pourrait ainsi être commise à travers l’utilisation inappropriée d’un avatar.
À titre d’exemple, l’utilisateur qui numériserait un personnage créé à destination des enfants et prônant des valeurs pacifistes, afin d’être utilisé dans un univers dédié à des jeux dits de « tirs », tels que le métavers développé par l’éditeur « Epic Games », porterait atteinte au droit moral de l’auteur de l’avatar en question.
En plus de constituer une source d’atteinte au droit moral de l’auteur, le métavers peut également impacter l’exercice même de ce droit par son titulaire dès lors que son œuvre est exploitée au moyen de la technologie blockchain.
À titre d’illustration, supposons qu’une œuvre graphique soit exploitée sur un NFT ne comportant pas le nom de l’auteur de ladite œuvre.
Dans une telle hypothèse, l’auteur de l’œuvre serait fondé à revendiquer la paternité de celle-ci et à exiger l’insertion de la mention de son nom sur le NFT en vertu de l’article L.121-1 du Code de la propriété intellectuelle.
Or, l’insertion du nom de l’auteur sur un NFT en lui-même, apparaît techniquement impossible à raison du caractère infalsifiable de la blockchain sur lequel est exploitée l’œuvre.
Ce faisant, une des solutions envisageables serait d’inscrire le nom de l’auteur directement au sein même de la blockchain grâce à la fonction de signature cryptographique.
Toutefois, une telle inscription apparaît dénuée de toute pertinence dans la mesure où l’intérêt de l’action prévue par l’article L.121-1 du Code de la propriété intellectuelle est de faciliter l’accessibilité au public du nom de l’auteur sur le support pour lequel l’œuvre est exploitée.
Tel ne pourra pas être le cas avec la Blockchain.
Par ailleurs, un tel système peut également impacter les mesures complémentaires mises en œuvre dans le cadre d’une condamnation en contrefaçon.
En effet, comment permettre l’inscription de la publication de la condamnation en contrefaçon dès lors qu’une œuvre est exploitée sur une blockchain ?
À l’instar de l’insertion du nom de l’auteur, une telle inscription apparaît techniquement impossible en raison des mêmes contraintes techniques induites par la nature de la blockchain.
Le demandeur devrait alors se contenter d’une publication de la décision sur le site internet du défendeur, pour autant que celui-ci en dispose.
Enfin, le métavers soulève également des interrogations concernant l’application des exceptions au droit d’auteur.
Plus précisément, il convient de s’interroger sur l’application de l’exception pour copie privée prévue par l’article L.122-5 du Code de la propriété intellectuelle.
Une telle interrogation peut apparaître légitime dès lors que l’utilisateur du métavers semble pouvoir bénéficier d’une sphère privée dans le cadre de l’utilisation de ce nouvel écosystème.
En effet, de nombreux métavers mettent à disposition des utilisateurs des espaces privés à l’instar de « mesh » ou d’« horizon ».
L’utilisateur est de surcroît invité à bâtir lui-même son propre espace privé par l’acquisition d’une parcelle numérique sur laquelle il peut construire un immeuble virtuel, dont il serait le seul à avoir accès.
Ainsi, tout l’intérêt de l’application de l’exception pour copie privée dans le métavers réside dans le fait de savoir si l’utilisateur est fondé à copier un élément d’un univers et à l’utiliser dans ce type d’espace.
La réponse à cette question semble négative.
En effet, l’usage de copie privée prévu par l’article L.122-5 du Code de la propriété intellectuelle suppose une utilisation de l’œuvre strictement personnelle au sein d’une sphère privée.
Or, un tel usage apparaît impossible au sein du métavers à raison du caractère public de celui-ci, et ce, malgré l’impression de confidentialité et d’exclusivité inspirée par ce type d’espaces privés au sein du métavers.
Ce faisant, il apparaît d’ores et déjà possible de soutenir qu’il n’existe pas de sphère privée dans le métavers au sens de l’article L122-5 du Code de la propriété intellectuelle, au sein duquel l’utilisateur pourrait faire un usage privé de l’œuvre copiée.
L’absence d’une telle sphère privée au sein du métavers se justifie par des considérations techniques inhérentes à la nature du métavers.
En effet, le métavers est une plateforme publique par nature.
Ainsi, lorsque l’utilisateur est connecté dans un univers sur le métavers, celui-ci est connecté sur un serveur de nature publique, auquel s’agrègent simultanément plusieurs centaines, voire plusieurs milliers de personnes.
Ce faisant, l’ensemble des actions de l’utilisateur dans un univers du métavers ne peuvent avoir lieu dans une sphère privée, à raison du caractère public du serveur sur lequel lesdits actes sont effectués, et ce, même si l’utilisateur les effectue en étant isolé des autres utilisateurs présents sur ledit serveur.
Ainsi, l’exercice de l’usage de copie privée au sens de l’article L122-5 du Code de la propriété intellectuelle apparaît impossible sur le métavers à raison du caractère public de celui-ci.
Pareil constat s’impose concernant l’usage de la copie privée étendue à l’usage du cercle familial prévu par les dispositions précitées.
Ce faisant, il semblerait que le seul moyen d’effectuer un usage privé de la copie d’une œuvre directement au sein du métavers consisterait en la création d’un univers numérique, lequel serait déployé sur un serveur privé auquel l’accès sera réservé uniquement à celui qui entend se prévaloir de l’exception édictée par l’article L122-5 du Code de la propriété intellectuelle.
Or, une telle hypothèse apparaît matériellement inenvisageable à raison du coût de développement d’une telle infrastructure.
De plus, il convient de préciser que l’utilisation de ces espaces privés par les utilisateurs reste soumise aux conditions générales d’utilisation de l’éditeur de l’univers dédié.
Ce faisant, l’usage de l’élément copié au sein du métavers dans ce type d‘espace doit être réalisé conformément aux stipulations contractuelles régissant le respect des droits de propriété intellectuelle des titulaires insérées dans les conditions générales l’utilisation, lesquelles primeront sur tout usage privé.
L’impact du métavers au regard des contrats de cession et de licence de droit d’auteur
L’impact du métavers sur le droit d’auteur doit également être appréhendé au regard de la licence et de la cession de droit d’auteur.
En effet, au regard du potentiel économique du métavers, il ne fait nul doute que de très nombreux titulaires de droits de propriété intellectuelle souhaiteront exploiter leurs œuvres rapidement au sein du métavers.
À raison de sa nouveauté et des possibilités qu’il offre, un tel écosystème va inévitablement impacter les modes de transfert de droits que sont la licence et la cession.
L’article L.131-4 du Code de la propriété intellectuelle, contraint le cédant à préciser l’étendue des droits de la cession et de détailler notamment le support sur lequel l’œuvre peut être exploitée.
Or, la notion de support au sens de l’article L.131-4 du Code de la propriété intellectuelle doit nécessairement être repensée à l’aune du métavers.
En effet, à notre sens, une clause n’a pas à mentionner expressément le métavers comme support d’exploitation dès lors que des stipulations prévoyant une exploitation sur internet seraient déjà prévues dans un contrat de licence ou de cession de droit d’auteur.
En effet, dans une telle hypothèse l’œuvre pourra être exploitée sur le métavers en vertu de la jurisprudence selon laquelle une œuvre peut être exploitée sur support nouveau si celui-ci s’inscrit dans la continuité du support prévu contractuellement[1].
A ce titre, le métavers peut apparaître comme le prolongement du support d’internet.
Deux arguments peuvent soutenir une telle observation :
- En premier lieu, le métavers fonctionne nécessairement grâce à une connexion internet ;
- En second lieu, il existera des passerelles permettant de naviguer du métavers à un site internet et inversement, sous réserve de posséder un casque de réalité virtuelle.
Ce faisant, s’interroger sur l’impact du métavers, au regard de la notion de support dans un contrat de cession ou de licence de droit d’auteur, implique de s’interroger, non pas sur la notion de métavers en elle-même, mais sur le support sur lequel l’œuvre sera exploitée au sein du métavers.
En effet, les œuvres ne peuvent être accessibles au sein du métavers que si elles font l’objet d’une modélisation en 3 dimensions, laquelle se fonde sur une technologie combinant réalité virtuelle et réalité augmentée et ce, dans un format optimisé pour un casque de réalité virtuelle.
Ainsi, il apparaît que les œuvres au sein du métavers doivent être reproduites sur un support technique spécifique, lequel est imposé à raison de la nature du métavers.
Dès lors, pour qu’une œuvre soit exploitée dans le métavers, il est impératif qu’une clause dans le contrat de licence, ou le contrat de cession, mentionne expressément la reproduction de l’œuvre dans un format numérique optimisé pour ce nouvel écosystème numérique.
Toutefois, il convient de préciser qu’une telle clause est dispensable dès lors que le contrat de licence ou de cession dispose d’une clause dite « clause de mode d’exploitation imprévisible » prévue par l’article L131-6 du Code de la propriété intellectuelle et autorisant l’exploitation d’une œuvre sur un support non prévisible ou non prévue au moment de la date de la conclusion du contrat.
La licéité d’une telle clause est néanmoins subordonnée à son caractère exprès et à l’existence d’une rémunération proportionnelle au profit de l’auteur.
L’impact du métavers sur le droit des données personnelles
L’impact du métavers sur le droit des données personnelles doit être appréhendé au regard du traitement des données sensibles, lequel est inhérent au métavers (i) et sur les mesures qui doivent être mises en place par les responsables de traitement de données personnelles (ii).
L’impact du métavers sur le traitement des données personnelles sensibles
Le métavers va avoir un impact considérable sur l’application du RGPD.
En effet, le métavers va permettre la collecte massive de données personnelles sensibles notamment dans le cadre de la collecte de données au titre de publicité ciblée.
Grâce au métavers, de nouvelles données qui ne pouvaient pas être traitées de manière massive et automatisée jusqu’à aujourd’hui pourront désormais faire l’objet d’un traitement généralisé.
Ainsi seront potentiellement traitées dans un futur proche : les données biométriques, le mouvement du corps, ainsi que les expressions faciales.
Il apparaît donc que le métavers à raison de son caractère immersif permettra la collecte et le traitement de données rentrant dans la catégorie des données dites « sensibles », lesquelles sont définies par l’article 9 du RGPD comme : «les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ».
La collecte de ces données n’est pas en soi formellement prohibée.
En effet, leur collecte et leur traitement est possibles dès lors que :
- la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée)
- les informations sont manifestement rendues publiques par la personne concernée
- si elles sont nécessaires à la sauvegarde de la vie humaine ;
- si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL
- si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
En conséquence, les opérateurs présents dans le métavers devront nécessairement recueillir le consentement exprès, libre et éclairé de l’utilisateur afin de traiter ce type de données.
En outre, le responsable de traitement devra également déterminer la finalité pour laquelle ces données sont traitées et ne limiter celui-ci qu’aux seuls finalité définis.
En outre, l’impact du métavers sur la collecte de données sensibles peut également être appréhendé à travers l’utilisation des avatars.
En effet, le métavers étant un monde particulièrement immersif, l’utilisateur va pouvoir naviguer au sein de plusieurs univers en utilisant un avatar promettant d‘être entièrement personnalisable.
En pratique, la mise en œuvre de ces costumes numériques impliquera la collecte de très nombreuses données par les entreprises éditrices afin de réaliser des ciblages publicitaires.
Autant d‘informations qui devront être portées à la connaissance de l’utilisateur lequel pourra faire jouer son droit d‘opposition, de modification, et d’effacement, prévus par les article 16, 17, 18 et 21 du RGPD.
Mais plus encore, se pose la question d‘une collecte de données susceptible de porter atteinte aux droits et libertés des personnes.
En effet, la personnalisation croissante des avatars pourra amener leur titulaire à les fidéliser à leur apparence physique dans le monde.
Ainsi, un avatar personnalisé à l’image de son utilisateur sera incontestablement constitué d’éléments sensibles tels que la couleur de peau , d’éléments renvoyant à la croyance religieuse etc.
La collecte de données sensibles devra donc nécessairement être envisagée par les responsables de traitements de données dès lors que celles-ci seront rendues publiques par l’utilisateur.
Ainsi, il apparait opportun de s’interroger sur le point de savoir si la personnalisation d’un avatar réalisée au moyen de données personnelles d‘un utilisateur et, par voie de conséquence pleinement consentit par ce dernier, pourrait tout de même être considérée comme un traitement de données sensibles au sens de l’article 9 du RGPD ?
La réponse à une telle question apparait d’autant plus complexe dans la mesure où de nombreux arguments ne permettent pas d’apporter une réponse définitive.
En effet, il serait possible d’une part de considérer que la personnalisation d‘un avatar au seul chef de son utilisateur pourrait être assimilée à une information manifestement rendue publique dès lors que c’est en toute connaissance que ce dernier a eu l’intention de le personnaliser au regard de son apparence physique.
Si le métavers impose la réalisation d‘un avatar pour naviguer, il n’impose nullement une personnalisation fidèle à l’utilisateur.
Dans un sens contraire, l’on serait tenté de considérer que la seule personnalisation d‘un avatar ne saurait être assimilé à une information manifestement rendue public dès lors que la finalité de cette personnalisation est strictement définit par un périmètre propre à l’activité ludique posée par le métavers.
À ce titre, la CNIL semble adopter une telle analyse à en juger par la mise en demeure qu’elle a adressé le 16 décembre dernier à la société CLEARVIEW AI.[1]
La CNIL a mis en demeure cette société de cesser un traitement de données fondé sur la reconnaissance faciale reposant sur une base de photographies et de vidéos publiquement accessible sur internet.
La commission a en effet jugé qu’un tel traitement était par nature illicite puisque les personnes figurant sur lesdites photos et vidéos n’avaient jamais consenti à ce que leurs données soient exploitées dans le cadre d‘un logiciel de reconnaissance faciale.
Ainsi et à la lumière de cette mise en demeure, il serait possible de considérer que la seule accessibilité aux données ne suffirait pas à légitimer leur traitement, dès lors que l’utilisateur n’a jamais consenti à la finalité prévue par le responsable de traitement.
Par l’application d’un tel raisonnement on pourrait considérer que le responsable de traitement situé dans le métavers devra donc obtenir le consentement exprès et éclairé de l’utilisateur des données en cause afin que son avatar puisse faire l’objet d’un traitement particulier (et notamment à des fins publicitaires).
L’impact du métavers sur les mesures mises en œuvre par le responsable d’un traitement de données personnelles
Le métavers va également impacter les mesures imposées par le RGPD dans le cadre d’un traitement de données personnelles conforme au RGPD.
L’une d’entre elles, l’analyse d’impact édictée par l’article 35 dudit règlement sera principalement mise en lumière dès lors qu’elle impose aux entreprises de réaliser une étude sur le traitement de données personnelles lorsque celui est susceptible d’engendrer un risque élevé pour la vie privée, les droits et libertés des personnes.
Or, l’existence d’un tel risque est avérée au sein du métavers dans la mesure où les données collectées au sein de celui-ci relèvent de la catégorie dite des données sensibles et pour lesquelles la CNIL oblige la réalisation d’une telle analyse.[1]
En outre, l’impact du métavers sur le droit des données personnelles doit également être appréhendé au regard de la généralisation de la technologie blockchain.
En effet, de nombreuses entreprises souhaitent développer leurs activités sur le métavers en ayant recours à la technologie blockchain, laquelle peut impliquer l’inscription de certaines données personnelles en son sein notamment à des fins d’identification d’un propriétaire d’une parcelle numérique ou de suivi d’une transaction.
Or, toute action effectuée sur une blockchain est irréversible impliquant l’impossibilité d’effacer des données personnelles inscrites.
Ce faisant, l’utilisation d‘une blockchain comme moyen de traitement de données personnelles rend impossible l’exercice des droits d‘effacement, d’opposition, de rectification et de limitation prévues par les articles 16, 17, 18 et 21 du RGPD.
Dès lors, les entreprises souhaitant avoir recours à des activités nécessitant l’inscription de données personnelles sur une blockchain devront mettre en place des procédés permettant aux personnes physiques d’exercer leurs droits dans le cadre du traitement de leurs données personnelles.
À notre sens, la solution la plus appropriée consisterait à conserver l’ensemble des données personnelles de l’utilisateur, personne physique, dans un fichier séparé de celui de la blockchain et de n’inscrire sur celle-ci que la ou les données personnelles nécessaires à la finalité prévue et ce, tout en ayant recours à un procédé d’anonymisation.
Ainsi, et pour reprendre l’exemple de l’identification d’un propriétaire d’une parcelle numérique, seuls le nom de famille et le prénom de celui-ci devront être inscrits sur la blockchain.
Les difficultés ainsi soulevées ne concernent pas uniquement le traitement de données personnelles des utilisateurs majeurs, mais également celles des mineurs.
Les opérateurs présents dans le métavers devront mettre au point des techniques permettant de recueillir le consentement des représentants légaux lors du recueil des données personnelles de l’utilisateur mineur.
Or, la mise en œuvre de tels procédés peut s’avérer complexe.
S’il est aisé pour un parent de consentir sur internet au traitement de telles données via un simple contrôle du site consulté, il en va nécessairement autrement de celles pouvant être collectées dans un monde virtuel comme l’est le métavers.
En effet, il paraît nettement plus difficile d’assurer un tel contrôle dans un monde virtuel, dès lors que la navigation au sein de cet univers implique l’utilisation d’un casque de réalité virtuelle.
Ce faisant, le représentant légal pourrait difficilement consentir au traitement des données personnelles de l’utilisateur mineur lorsque celui-ci navigue dans le métavers.
En effet, la navigation dans le métavers suppose a priori la création d’un compte.
Or, il n’est pas garanti que le représentant légal dispose d’un tel compte rendant le recueil de consentement nettement plus complexe et impliquant la création de celui-ci avant d’autoriser l’utilisateur mineur à naviguer.
En tout état de cause, les entreprises devront mettre en place des procédés techniques permettant de recueillir l’autorisation des parents et/ ou représentants légaux du mineur.
En outre, les éditeurs de contenus devront également mettre en œuvre des mesures de protection destinées à contrôler l’accès des mineurs à des contenus manifestement violents ou destinés à un public adulte.
A l’instar de certains sites pornographiques actuellement dans la ligne de mire du CSA[2] lequel leur reproche de ne pas interdire purement et simplement leur accès au public mineur, les éditeurs de contenus pour adulte dans le métavers pourraient se voir également contraindre par l’effet des dispositions de l’article 23 de la loi n°2020-936 du 30 juillet 2020.
Pour rappel, cet article permet au Président du CSA d’adresser aux éditeurs de services de communication en ligne de contenus pornographiques, une mise en demeure leur enjoignant de prendre toute mesure de nature à empêcher l’accès des mineurs au contenu incriminé.
A l’expiration d’un délai de 15 jours durant lequel aucune réponse circonstanciée n’aurait été apportée, le Président du CSA peu alors saisir le Tribunal judiciaire de Paris aux fins d’ordonner le blocage des sites concernés.
En pratique, une transposition de ces dispositions au monde virtuel du métavers serait tout à fait envisageable.
Autant de difficultés que le Responsable de Traitement devra anticiper, tout particulièrement à l’aune du Règlement de l’Union Européenne Digital Service Act.
La Responsabilité des Fournisseurs de services numériques au sein du Métavers appréciée à la lumière du Digital Act
Présentés au mois de décembre 2020 par la Commission européenne, le Digital Market Act et le Digital Services Act ont tous deux fait l’objet d’un vote définitif par le Parlement européen le 5 juillet 2022.
Par ces deux règlements, la Commission européenne entend encadrer et harmoniser les pratiques des acteurs dans le monde numérique, lesquels sont amenés à respecter quantité d’obligations nouvelles, ayant vocation à les responsabiliser.
Les institutions de l’Union s’inscrivent ainsi dans une démarche de protection et la sécurité des utilisateurs de services numériques mais également de rééquilibre dans les rapports entre les acteurs du monde numérique.
S’agissant plus précisément du Digital Service Act (DSA), celui-ci s’inscrit dans une logique de contrôle des services numériques destinée à accroître la transparence des plateformes hébergeant des contenus et accroître la lutte contre les contenus manifestement illicites.
Cet acte répond ainsi à la même volonté de responsabilisation des fournisseurs de services numériques, notamment dans le cadre du processus de modération des contenus mené par lesdits fournisseurs afin de repérer et de lutter contre les informations illicites fournies par les bénéficiaires de ces services, qu’ils s’agissent d’informations illicites en elles-mêmes, à l’instar de propos terroristes, haineux ou discriminatoires, ou d’informations se rapportant à des activités illégales, tels les abus sexuels, le harcèlement, ou encore la contrefaçon.
Le règlement se donne ainsi pour but de faire face au développement et à la généralisation des services numériques en imposant des règles nouvelles aux fournisseurs de services numériques intermédiaires en vue que celles-ci régulent les contenus qu’elles fournissent.
Au regard de cette philosophie, il paraît évident que les acteurs du Métavers revêtiront la qualification de fournisseurs de services numériques intermédiaires instauré par le règlement dont la définition est particulièrement large.
En effet, celle-ci comprend :
- Les services de simple transport, lesquels consistent « à transmettre, sur un réseau de communication, des informations fournies par un bénéficiaire du service ou à fournir un accès au réseau de communication » ;
- Les services de mise en cache, « consistant à transmettre, sur un réseau de communication, des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information dans le seul but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires »
- Les services d’hébergement, « consistant à stocker des informations fournies par un bénéficiaire du service à la demande de ce dernier » (Article 2, f).
Une définition particulièrement large qui devrait s’appliquer à la très grande majorité des acteurs du Métavers et qui implique une série d’obligations incombant à l’ensemble de ces fournisseurs de services.
Il ressort des articles 10 à 13 de ce Règlement que ces derniers seront désormais contraints d’établir un point de contact unique afin de permettre une communication directe avec les autorités des États-membres, la Commission et le Comité des Services numériques (Article 10).
Ainsi une étroite coopération, devenant un contrôle opéré tant par des autorités administratives indépendantes que des Institutions de l’Union Européenne, sera désormais opérée, renforçant ainsi le respect, par ces fournisseurs, du droit des utilisateurs de leurs services.
Ce contrôle semble d’autant plus prégnant que l’article 13 dispose que ces responsables devront également publier des rapports clairs, détaillés et compréhensibles sur les éventuelles activités de modération de contenu auxquelles ils se sont livrés, au moins une fois par an.
Ainsi et au regard de la territorialité attachée à un litige de contrefaçon de droit d’auteur ou en lien avec un manquement relatif au respect des données personnelles, le DSA Act permettra de clarifier à l’avenir les éventuelles contestations concernant le droit applicable grâce au point de contact instauré par l’article 10 du Règlement.
La question de la territorialité semble également résolue lorsque le fournisseur de service se ne dispose pas d’établissement au sein de l’Union Européenne, dès lors que l’article 11 dispose que lorsqu’il propose des services à l’intérieur de l’Union, celui-ci aura l’obligation de désigner par écrit, une personne morale ou physique comme leur représentant légal dans un des États membres dans lequel il propose ses services.
Plus encore, le règlement pose ensuite de nouvelles obligations, applicables aux seules plateformes en ligne et non plus à tous les services d’hébergement (Articles 17 à 24) :
- Par exemple, celles-ci doivent fournir aux bénéficiaires du service l’accès à un système interne de traitement des réclamations pendant une période d’au moins 6 mois à compter de la décision de retirer ou d’empêcher l’accès à des informations fournies par ce bénéficiaire, ou de suspendre ou de résilier le compter ou la fourniture du service aux bénéficiaires (Article 17).
- Elles ont l’obligation de suspendre la fourniture de leurs services aux bénéficiaires qui fournissent fréquemment des contenus manifestement illicites, après avoir émis un avertissement préalable (Article 20).
- Les plateformes en ligne ont également l’obligation de notifier promptement les services répressifs et judiciaires de l’Etat membre concerné de son soupçon lorsqu’elle prend connaissance d’informations permettant de soupçonner qu’une e infraction pénale grave impliquant une menace pour la vie ou la sécurité des personnes a été commise, est commise ou est susceptible de l’être (Article 21).
S’ensuivent d’autres obligations, qui ne sont applicables qu’aux services d’hébergement.
Ainsi, ces derniers, devront désormais établir des mécanismes en vue de permettre à toute personne de signaler la présence au sein de leur service de contenus considérés comme illicites (Article 14).
La naissance d’un contrôle a priori, ou d’une obligation générale de surveillance pourtant résolument désapprouvée par le droit positif, semble désormais naître au détriment des hébergeurs.
Pour rappel, l’article 6-I-7 de la LCEN, stipule que les hébergeurs « ne sont pas soumises à une obligation générale de surveiller les informations qu’elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ».
Plus largement, le DSA Act renforce également la responsabilité des « grandes plateformes en ligne », lesquelles sont définies comme celles « fournissant leurs services à un nombre mensuel moyen de bénéficiaires actifs du service au sein de l’Union égal ou supérieur à 45 millions » (Article 25, 1.)
Ces plateformes sont soumises à davantage de règles, à raison du large public qu’elles touchent, et du caractère plus probable de propager des contenus illégaux.
Elles désignent des moteurs de recherches, ou encore de grands réseaux sociaux, lesquels ont une grande responsabilité dans le partage d’information.
Elles se doivent par exemple de recenser, analyser et évaluer tout risque systémique trouvant son origine dans le fonctionnement et l’utilisation faite de leurs services au sein de l’Union, qu’il s’agisse de la diffusion de contenus illicites par le biais de leurs services, d’une atteinte à l’exercice de droits fondamentaux, ou de la manipulation intentionnelle de leur service (Article 26).
Elles doivent fournir l’accès aux données nécessaires pour contrôler et évaluer le respect du règlement au coordinateur de l’état membre d’établissement pour les services numériques ou à la Commission, lorsqu’ils en font la demande motivée (Article 31).
Elles doivent désigner un ou plusieurs responsables de la conformité chargés de contrôler si elles respectent le présent règlement, lesquels doivent disposer des qualifications professionnelles, des connaissances, de l’expérience et des aptitudes nécessaires pour mener à bien ces tâches (Article 32).
Les très grandes plateformes en ligne doivent publier les rapports mentionnés à l’article 13 non seulement tous les ans mais au moins tous les six mois (Article 33.1).
L’ensemble des obligations auxquelles seront nouvellement assujetties ces nouveaux fournisseurs de services numériques seront de surcroît contrôlés par des coordinateurs pour les services numériques désignés par l’autorité compétente de chaque Etat Membre, destinés à s’assurer de l’application, du contrôle et de la coordination au niveau national des règles posées par le règlement (Article 38).
Ces derniers disposeront d’ailleurs d’un pouvoir d’enquête leur permettant par exemple d’exiger des fournisseurs ou de toute autre personne de fournir des informations relatives à une infraction présumée au règlement, de procéder à des inspections sur place, ou encore d’interroger des membres du personnel ou représentants des fournisseurs afin d’obtenir des informations (Article 41, 1).
Ces derniers pourront également, être investis de pouvoirs d’exécution, et pourront par exemple ordonner la cessation des infractions et imposer mesures correctives proportionnées à l’infraction et nécessaires pour faire cesser effectivement l’infraction, imposer des amendes, ou des astreintes, ou encore adopter des mesures provisoires afin d’éviter le risque de préjudice grave. (Article 41, 2.).
Ce contrôle ne se cantonne d’ailleurs pas aux seuls coordinateurs dès lors qu’un Comité Européen des services numériques est mis en place pour assurer la surveillance des fournisseurs de services intermédiaire lequel émet des avis et des recommandations, conseille la Commission, ou encore encourage l’élaboration de nouvelles normes, orientations, rapports lorsque de nouvelles questions émergent (Articles 27 à 49).
Les très grandes plateformes en ligne font l’objet d’une surveillance et d’un contrôle d’autant plus important :
- Par exemple, la Commission peut procéder à une demande de renseignements aux très grandes plateformes concernées en vue de contrôler, de mettre en œuvre et de faire respecter les règles prévues par le présent règlement (article 52).
- Elle peut également mener des entretiens et recueillir des déclarations en interrogeant toute personne physique ou morale qui accepte d’être interrogée (Article 53).
- La Commission est aussi en droit d’effectuer des inspections dans les locaux de la très grande plateforme en ligne concernée (Article 54).
- Enfin, en cas de manquement, la Commission peut ordonner la mise en place de mesures provisoires à l’encontre d’une très grande plateforme en ligne lorsque celle-ci s’est rendue coupable d’un préjudice grave et irréparable (Article 55), infliger des amendes (Article 59) ou des astreintes (Article 60).
- L’article 57 du présent règlement précise par ailleurs que le contrôle par la Commission du respect des obligations incombant aux très grandes plateformes peut justifier la mise en place des mesures nécessaires, lesquelles peut comprendre la nomination d’experts et d’auditeurs externes indépendants pour aider la Commission à contrôler les obligations et mesures et lui apporter une expertise et des connaissances spécifiques. (Article 57).
Par ces dispositions, le Digital Services Act entend donc accroître la responsabilisation des hébergeurs en ligne en leur imposant de nouvelles contraintes destinées à garantir une meilleure modération et un contrôle plus efficace des contenus qu’elles fournissent.
Nul doute que ces dispositions auront également une répercussion sur les services qui seront à terme prodigués dans le Métavers.
[1] Liste des traitements pour lesquelles l’AIPD est obligatoire publiée par la CNIL.
[2] Mises en demeure adressées par le CSA le 13 décembre dernier aux sites PronHub, Xvideo, Tukif
[1] Mise en demeure adressée par la CNIL à la société CLEARVIEW AI en date du 16 décembre 2021. (https://www.cnil.fr/fr/reconnaissance-faciale-la-cnil-met-en-demeure-clearview-ai-de-cesser-la-reutilisation-de)
[1] Cour d’appel, Paris, 4e ch. sect. B, 16 janvier 2004, SA Sté Gaumont et SAS Sté Télédis c/ SA Sté Éditions René Château
[1] Cour d’appel de Paris 4ème chambre, section A Arrêt du 14 mars 2007 n°06/03307
Vous aimerez aussi
Nullité d’une cession de droits à titre gratuit qualifiée de donation et nécessitant une formalisation devant notaire
Le Tribunal judiciaire a rappelé que le code de la propriété intellectuelle ne déroge pas à la
L’adoption d’une nouvelle décision d’adéquation relative à l’échange des données personnelles entre l’Union européenne et les États-Unis.
Le 10 juillet dernier, la Commission européenne a adopté une décision d’adéquation en vert
Adoption du projet de loi SREN
Ce mercredi 10 avril 2024 a été adopté définitivement le projet de loi visant à sécuriser et r
Laisser un commentaire