La mort des exceptions au droit d’auteur

Ce 20 mai 2015 la chambre criminelle de la Cour de cassation a assassiné les exceptions au droit d’auteur, dans son (déjà) (et tristement) célèbre arrêt Bluetouff.

Je vous épargne les faits, car :

1) j’ai linké l’arrêt deux lignes au-dessus;

2) si vous ne voyez pas de quoi je parle vous avez vécu dans une grotte ces deux dernières années.

On va donc parler de vol d’une oeuvre immatérielle, notion ô combien étrange…

I. Le vol, ce délit

Défini à l’article 311-1 du code pénal, le vol est un délit puni de 3 ans d’emprisonnement et de 45 000€ d’amende.

Le vol est la soustraction frauduleuse de la chose d’autrui.

Je passe les débats doctrinaux sur la notion de chose (matérielle ou immatérielle, meuble ou immeuble), pour sauter à ce qui est couramment admis en pratique : on ne peut voler que ce qui est meuble (donc pas un appartement), et qui est matérialisé (donc pas une action dans une société, mais le titre de propriété de cette action, si). La notion de soustraction est à prendre en compte, c’est à dire qu’il n’est possible de voler quelque chose que si on prive son propriétaire de la jouissance de l’objet pendant au moins un bref instant.

Par exemple, il n’est pas possible de voler une idée (au sens juridique), et photocopier n’est pas voler.

Sauf si, pour faire la photocopie, l’auteur du vol a soustrait frauduleusement les documents à son légitime propriétaire. Cas d’école : avant de quitter l’entreprise pour monter sa propre boite, une personne photocopie tous les documents intéressants. Elle a alors soustrait momentanément les documents à son propriétaire légitime, le temps de la photocopie. Le vol est caractérisé.

Autre élément intéressant, le vol d’électricité. Il n’existe pas, car il n’y a pas de dépossession de l’énergie.

C’est pour cette raison qu’il existe un article spécial dans le code pénal qui incrimine cet acte, en l’assimilant au vol (311-2 du code pénal).

Rappel de théorie générale de droit pénal : si c’est pas explicitement interdit, c’est autorisé.

II. Rappel sur le droit d’auteur et ses exceptions

L’auteur d’une œuvre dispose d’un droit exclusif sur celle-ci (qu’il peut éventuellement céder). Cela implique qu’il est le seul à décider de quand et comment est diffusée son œuvre.

Il existe un certain nombres d’exceptions à ce principe, qui sont strictes et limitatives (à la différence du droit américain qui reconnait le fair use) :

  • droit de citation et d’analyse
  • revues de presse
  • discours publics
  • parodie et caricature
  • enseignement et recherche
  • utilisation au profit de personnes handicapées
  • droit d’information sur un évènement d’actualité (en gros : journalisme)
  • sécurité publique
  • représentation dans une bibliothèque, école, musée

Et c’est tout.

Si vous voulez utiliser une oeuvre, et qu’elle ne rentre pas dans un de ces cadres, il faut l’accord de l’auteur. Sinon, c’est une contrefaçon.

III. L’apport de l’arrêt Bluetouff quant au vol

La Cour de cassation nous indique que :

Attendu que, pour déclarer le prévenu coupable de maintien frauduleux dans un tel système et vol, l’arrêt prononce par les motifs repris aux moyens ;

[Bluetouff] s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire, la cour d’appel, qui a caractérisé les délits en tous leurs éléments, a justifié sa décision ;

Bienvenue à la soustraction sans soustraction, la chambre criminelle caractérise le vol alors qu’à aucun moment la victime ne s’est vue dépossédée de ses fichiers informatisés (indice : c’est pour cette raison que l’on parle depuis des années de contrefaçon plutôt que de vol). Un dézingage en règle de cet arrêt est à prévoir dans les prochains temps par les universitaires de tous poils sur ce point.

Analysons plutôt comment cette solution s’articule avec les exceptions au droit d’auteur.

L’arrêt n’en fait pas mention (on peut éventuellement tomber sur le droit de citation et d’analyse, en raison de la publication d’un article sur la légionellose).

Donc les deux infractions (vol et contrefaçon) s’articulent chacune de leur coté, avec leurs spécificités propres.

C’est à dire que si une personne publie une œuvre/article/whatever en s’appuyant sur une autre oeuvre, grâce à l’une des exceptions au droit d’auteur précité, elle pourra quand même être condamnée pour vol.

Il suffira juste à l’auteur original de prouver qu’il ne souhaitait pas que son œuvre se retrouve dans les mains de l’auteur secondaire.

[normalement, là, vous avez réalisé que mon titre était racoleur. Il ne s’agit pas à proprement parler de la mort des exceptions au droit d’auteur. Néanmoins, la simple possibilité qu’elle soient mise en échec par l’infraction de vol est une sérieuse limitation à leur exercice.]

Publicités

Le statut de l’adresse IP (encore) remis en question

Ce qui est bien avec la Justice, c’est que des choses pourtant évidentes mettent du temps à rentrer dans les mœurs des juges. Du coup, on peut médire à leur encontre à moindre frais 🙂

Cour d’appel de Rennes, 28 avril 2015.

Celle-ci nous indique que :

le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau  informatique, une liste d’adresses IP[…], sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitu[ait] pas un traitement de données à caractère personnel.

Je vous épargne le listing de jurisprudences, certaines allant dans le sens de la reconnaissance comme donnée à caractère personnel (CJUE notamment), d’autres non (CA françaises notamment). Prenez un bon bouquin si ce point vous intéresse.

[troll] Ça ne gène pourtant pas les tribunaux de condamner en vertu de la HADOPI, c’est à dire d’identifier un coupable sur la base d’une IP. [/troll]

Ce que je veux souligner dans cet article, c’est ce point précis :

sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait

  • RTFM

Loi n°78-17, article 2 :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Je reformule à partir de ce qui est en gras :

Constitue une donnée à caractère personnel toute information relative à une personne physique qui peut être identifiée indirectement, par référence à  un ou plusieurs éléments qui lui sont propres.

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont  peut avoir accès toute autre personne.

Le second paragraphe est très intéressant, du coup. Pour déterminer si une personne est identifiable, il faut considérer tous les moyens (illégaux y compris ?) à disposition de toute autre personne. Cela inclut donc les moyens exceptionnels dont peut disposer un petit cercle restreint, du type « enquête judiciaire ».

Or la correspondance IP – abonné est disponible, justement, dans le cadre d’une enquête judiciaire. Et pour le cas d’espèce, l’admin sys de la société mise en cause dispose de logs pour savoir quel salarié est en cause.

Bref, l’argument comme quoi aucun rapprochement entre les IP et les salariés n’est effectivement fait est inopérant. Il suffit qu’il soit possible pour que la loi s’applique.

  • RTFM 2.0

Si vous lisez ce blog, l’extrait du jugement va surement vous laisser un petit arrière-gout. Cet arrière-gout, c’est le pseudonyme. Passons sur le fait que ce concept n’existe pas encore juridiquement en France et au niveau de l’UE. Le projet de Règlement le définit dans son article 4. Ici pour la version du Parlement :

‘pseudonymous data’ means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution

ici pour la version du Conseil Européen :

‘pseudonymisation’ means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution to an identified or identifiable person
Donc un wording un peu différent, mais le fond reste le même : une information est conservée et traitée de façon séparée de tout élément, ou conjonction d’éléments, qui pourraient permettre de la rattacher à quelqu’un.
Le sort d’un traitement qui respecte cette séparation est encore un peu floue (les lobbyistes continuent de s’affronter à ce sujet), mais la ligne de base est que ces données restent des données à caractère personnel. Tout au plus les traitements bénéficieront d’un formalisme allégé.
Donc même en appliquant un régime juridique qui n’est pas encore fixé, nos Juges se sont plantés ^^’