Résumé Droit Numérique BV PDF

Cours 1 (17.09.2024) Introduction Deux exemples pour illustrer la transversalité (entre les domaines juridiques mais aussi questions politiques, économiques, géopolitiques, sociologiques) et complexité de la matière - Exemple TikTok La plateforme commence à être interdite dans certains E : Brésil, Inde, UE/US: interdiction tel des fonctionnaires, US envisage de l’interdire dans le pays + plaintes de certains E comme l’Indiana qui accuse TikTok « d’être un cheval de Troie chinois » Pourquoi ces interdictions ? - Questions espionnage - Ciblage commercial/politique ex Cambridge analytica : Facebook a donné accès à sa base de données à Oxford qui a pu faire du ciblage politique en ciblant les électeurs hésitants pour élections Trump -> manipulation d’élections, d’avis D’ailleurs TikTok a un contenu complètement différent en Occident par rapport à la Chine. En Chine il est bouclé entre 22h et 6h du matin et aux US et UE ont un contenu avec des petits chats et peut être d’autres manipulations et contenus manipulatoires (en tout cas c’est un soupçon) Pour résumer : - Manipulation des internautes en raison du contenu - Espionnage : c’est un éventuel soupçon que via TikTok on peut aller chercher dans la messagerie des utilisateurs car pas chiffrée par défaut (il faut le faire pro-activement) // affaire avec le parton de Telegram qui a été mis en examen à Paris parce que Telegram violerait les lois françaises et européennes car sur cette plateforme transitent plusieurs cyber-infractions : pédopornographie, apologie du terrorisme (groupes qui peuvent échanger), cyberinfractions classiques : trafic de stupéfiants et escroquerie. 2 volets dans l’affaire : 1. Les messageries cryptées (accéder ou non au contenu des messageries) 2. Plus une simple messagerie mais un réseau social hybride -> peut faire des chaînes publiques et chatter avec des centaines de milliers d’utilisateurs 1. Les autorités (ex police) peuvent-elles avoir accès ou non à la messagerie ? Et si ce n’est pas des données de contenu au moins au métadonnées/données secondaires = adresse IP ou moment de connexion, géolocalisation (Dans le droit Suisse LPD on peut avoir accès aux métadonnées même si messagerie cryptée) 2. Aspect réseau social : il est reproché de ne pas avoir suivi la modération des contenus, l’obligation de modération qui est imposée en particulier par la nouvelle loi sur les services numériques, la DSA en Europe (qui impose la modération dès lors qu’on est dans un réseau social) → Pour l’instant le patron n’a obtempéré pour aucune de ces obligations. Il revendique une sorte de liberté d’expression totale 1 - Transparence et protection des données : collecte massive des données, manque de transparence sur l’utilisation accrue des données (là vrmt dans le juridique) Donc il y a des motifs plutôt politiques mais parfois sous couvert de juridique (ex transparence) on va essayer d’aller chercher des motifs politiques. D’ailleurs l’interdiction au Brésil c’est parce que TikTok n’aurait pas nommé de représentant légal sur sol brésilien // RGPD qui impose que lorsqu’on est actifs sur sol européen on doit avoir un représentant européen, même chose au Brésil Les données sont massivement collectées et réutilisées a priori pour entraîner l’IA en Chine -> + un Etat a accès à des données + les autorités/entreprises peuvent entraîner leurs algorithmes pour les IA À retenir : ce cas pose plusieurs questions : juridiques -> transparence, protection de la vie privée, modération des contenus (DSA) et politiques -> cyberespionnage, développement de l’IA, liberté d’expression 2. Exemple « IA générative » Affaire du théâtre d’opéra spatial qui est une œuvre numérique réalisée sur midjourney en 2023 et qui a gagné un concours artistique aux USA. Ce qui a soulevé bcp de controverses. Pourquoi ? - Les œuvres d’entraînement (training data) sur lesquelles s’entraîne la machine pour réaliser un contenu - Techniques reconnaissables dans l’output (dans le résultat) Touche au juridique car il est question de propriété ou titularité des droits sur les œuvres d’entraînement et économique car question de rémunérer ou non les artistes dont les données ont été utilisées Différentes positions sur le sujet par ex on peut dire que les artistes vont aussi dans les musées et regarder des tableaux pour s’inspirer de De plus, l’artiste aurait travaillé une centaine d’heures, réalisé 900 images, s’est entraîné avec une centaine de prompts pour retenir 3 images et a par la suite affiné les filtres pour l’imprimer sur toile donc pas un simple clic Midjourney s’entraîne sur des milliards d'œuvres pour être performante. Appropriation du domaine public : les données d’entraînement midjourney proviennent des réseaux sociaux ChatGPT aussi s’entraîne sur les réseaux sociaux par ex les conversations Reddit - Deux types de procès : les droits d’auteurs et les données personnelles À ce jour, il y a 30 procès en cours de droits d’auteur. D’une part les titulaires des droits d’auteur se plaignent de la récupération de leur contenu et de l’autre il y a OpenIA et autres modèles d’IA qui plaident l’Internet libre. Où placer le curseur entre la liberté de copier et l’octroi de titularité. Au delà du droit d’auteur il y a aussi des données personnelles ex 2 ChatGPT qui s'entraîne sur nos données d’utilisateurs et contenus de messagerie et Reddit et il existe aussi des plaintes de violation de la vie privée de la protection des données Mtn Zoom, Google et X (Grok = chat GPT de Elon Musk) mettent mtn dans leur politique de confidentialité qu’elles peuvent s’entraîner sur les données d’utilisateurs (users data) pour faire une IA De nombreux experts pensent qu’on arrive dans une ère de raréfaction des données = data winter : de plus en plus de sites internet commencent à bloquer l’accès aux robots qui viennent récupérer les contenus librement accessibles sur internet - 40% des données d’entraînement proviennent de sites avec des barrières légales (interdictions via conditions générales) ou techniques (robots qui interdisent le scroll) - 30% des sites concernés ont mis ces barrières ces 3 dernières années Parmi ces sites il y a le NYT qui se plaint envers Microsoft et OpenIA de récupérer leurs contenus À retenir : cette affaire illustre les nombreuses questions que cela soulève : juridique -> titularité sur les contenus de droits d’auteurs ?, données de la vie privée / économique : faut-il rémunérer si oui, qui ? Artistes seulement ou aussi les internautes dont les données sont utilisées // digital workers et questions plus sociétales ou techniques Le numérique impact toutes les facettes de notre vie : c’est ce qu’on appelle les multidimensions : · Dimension individuelle : en tant que consommateur et individu · Dimension socio-économique : à l’échelle des entreprise, plus macro · Dimension globale et géopolitique concernant les E Exemple : covid app : application permettant de vérifier less question d’interaction avec des personnes contaminée : · dimension individuelle : l’app n’a pas été téléchargée par une grande partie des Suisses pour des questions de vie privée. Nous souhaitions protéger notre vie privée à l’échelle individuelle. · Dimension socio-éco : car les données des utilisateurs ont pu être réutilisées à l’échelle plus macro par les autorités pour vérifier notamment la réaction des utilisateurs aux mesures sanitaires. Elle étudiaient également les contenus sur les réseaux type facebook pour analyser cela. · Dimension globale : les données des covid test étaient très importantes à partager avec les autres E pour lutter contre la pandémie 3 enjeux à l’échelle globale : 1) La question de souveraineté numérique, car l’ E qui maîtrise les technologies et l’information peut continuer de stimuler son économie et s’imposer politiquement vis-à-vis des autres voir soumettre les autres E à leur maîtrise de la technologie/souveraineté numérique. Ex. Concernant la guerre en Ukraine on parle aujourd’hui plutôt de cyber guerre, car elle est passée du terrain géospatial à un terrain numérique. 3 On note une certaine asymétrie entre les régions, soit une superpuissance des US > Asie > Europe > Afrique > Océanie. La régulation devient de plus en plus fondamentale. Les européens tentent d’être les pionniers en régulation pour rattraper leur retard en matière d’innovation. 2) Notion de surveillance numérique/étatique -> cyber espionnage. Ex. La région du Wuhan en Chine qui a demandé à ses habitants de rester enfermer dans la région. En plus de les enfermer spécialement, ils les ont contrôlés numériquement en ne faisant plus marcher leurs applications une fois sortis du territoire. 3) Question environnementales : le streaming, emails, stockage, IA comme chatgpt -> cela pollue tellement qu’il y a des études qui ont révélé que cela serait plus polluant que l’aviation civile. Des experts ont dit que dans 25 ans le stockage pèserait plus de la moitié de la terre. [LinkedIn : politique de confidentialité clause 2 : si nos préférences l’autorisent, ils peuvent analyser nos messages pour fournir des bottes ou des outils similaires. Quid de la transparence ? Douteux. LinkedIn utilisent nos données pour entraîner leur propre IA. Cependant, ce n’est pas sûr qu’ils les vendent à d’autres IA, cependant dans la politique de confidentialité il n’y pas d’interdiction.] Le domaines juridiques le plus touchés par les IA est la propriété intellectuelle (droit d’auteur) ; le droit pénal informatique qui prévoit dans son code des infractions informatiques ; question de procédure de science forensique, récolte de preuves électronique ; droit des obligations/contrat : en faisant un contrat utilisateur/plateforme ; droit de la consommation : protection du consommateur ; protection des données. Définition du droit du numérique : en quoi il faut l’appréhender de manière transversale (liens entre les différents domaines juridiques) - Les spécificités du droit du numérique Le droit du numérique va être impacté par la nature des technologies qui va mettre le droit en constante tension. Global exponentiel VS local et lent : - Les technologies ont une nature globale alors que le droit une nature locale ou fragmentée car lié à un État. En Suisse on a le droit Suisse (local) VS technologies nature globale (même si rattachées à des data center, sont globalement utilisées) - Les technologies sont caractérisées par une vitesse exponentielle alors que le droit fait l’objet de processus législatifs très lents ex la dernière révision de loi sur les droits d’auteurs LDA et la loi sur la protection des données LPD ont mis 12 ans et 8 ans à être édictées et votées -> entre temps bcp d’évolutions technologiques Rappel histoire du web : 4 Au sein de la révolution 4.0 qui fait référence à l’informatique, on distingue plusieurs phases Années 90 : web 1.0, web idéalisé où tout était ouvert, global et parfait. Internet mettait en relation les individus Années 2000 : Web 2.0 : émergence des micro-blogs et RS : tlm devenait acteur de l’internet car on pouvait contribuer Auj web 3.0 : web décentralisé dans lequel tlm peut valider des transactions, entre dans une ère de l’économie de la propriété car chacun peut devenir propriétaire de contenus numériques Avec la nature évolutive du web on va se questionner de la pertinence du droit (local et lent) face aux spécificités de la technologie. Certains considèrent que le droit actuel va s’appliquer tel quel et encadrer parfaitement les technologies = les cyber-paternnalistes Par oppositions, d’autres considèrent le droit comme à la traîne, local et trop lent, incapable d’encadrer les technologies qui évoluent seules dans un univers sans droit = cyber-libertariens (Musk par ex qui prône un internet libre et ouvert sans aucune règle) Ce débat cyber-paternnalistes VS cyber-libertariens peut être illustré par deux articles célèbres sur Moodle (lecture facultative) - The Law of the Horse : à l’époque des chevaux on a pas modifié le droit, on a appliqué le droit mutatis mutandis pour les cheveux même s’il est par définition transversal car un cheval va être vendu et acheté, il va faire l’objet de concours (droit du sport, droit des contrats), peut avoir certaines régulations agrariennes -> numérique même chose, il suffit d’appliquer le droit mutatis mutandis - En réponse à cet article on a l’article fondateur de Lawrence Lessig : qui dit que le moyen le plus efficace de réglementer le comportement dans le cyberespace était de réglementer directement le code source (architecture, ordis, code) qu’on allait réglementer les comportements mais pas dans les lois puisque le cyberespace échappait au droit = cyberlibertarien Nouvelles notions : Mais peu importante où on se situe, force est de constater que la nature globale et rapide des technologies vont nous forcer à repenser les notions traditionnelles et nous demander si le droit numérique doit bénéficier d’un régime spécial (dérogatoire, plutôt ce qui se fait dans l’UE) VS si le droit en vigueur s’applique tel quel (cas échéant avec de légères nuances) (plutôt ce qu’on fait en Suisse) -> Résumé : adopter des lois spéciales VS appliquer le droit tel quel Ces questions font apparaître de nouvelles notions pour le droit. Auparavant le droit était considéré comme celui des textes de lois dans les livres édictés par le régulateur = code as law (le droit = textes de loi) Auj : le droit serait dicté par les technologies qui elles imposeraient ce qui est autorisé ou non = code is law (le droit = le code-source) Plus récemment : encoder les lois (ce qui est dans le code des obligations ou code civil) dans le code source = law is coded (le droit = encodé) ex robots de YouTube qui vont identifier les contenus autorisés ou non d’un point de vue de droits d’auteurs Approche maximaliste vs minimaliste : 5 - Encore : approche propriétaire des droits exclusifs ou maximaliste qui est plutôt traditionnelle, on s’approprie le domaine public grâce à la propriété intellectuelle ou au droit d’auteur -> maximaliste car on utilise le droit d’auteur de façon maximale pour protéger les objets - VS une approche collective, les commons -> approche beaucoup plus minimaliste (nous sommes tous communément et collectivement détenteurs des objets numériques) - Sa transversalité Parcours d’une donnée : un like sur Facebook = cycle de la donnée 1. On like un contenu sur FB (conversation, image de vacances) 2. Notre like est envoyé aux USA à la maison mère en passant certainement par Mumbai, Séoul, Amsterdam, Irlande (siège européen). On pourrait être analysés en vue de nous faire des recommandations de contenu. À cette étape le like = simple donnée de base (terminal utilisé, temps passé sur FB, parcours de navigation) qui va être agrégée avec des données à droite (//PP) pour sortir sous forme de donnée comportementale censée prédire nos préférences ex amateur de sport, de musique classique, etc. = données psycho-graphiques ou comportementales 3. La données de comportement va être agrée dans un graph social au sein d’une communauté d’utilisateurs supposément ayant les mêmes préférences que nous = clustering, catégorisés au sein d’un groupe qui est censé avoir les mêmes préférences que nous. C’est grâce à cette communauté d’internautes qu’on verra les mêmes contenus que notre voisin faisant partie du même groupe -> ce cycle en 3 étapes, ça révèle que la donnée va impacter la plupart des domaines juridiques Protection des données : Va s’appliquer à tout le cycle du like dès lors qu’il permet de nous identifier comme celui qui a liké et qui est la personne derrière l’ordinateur -> implique qu’il existe des droit et des obligations Plateforme FB (obligations) : nous doit un devoir de transparence, doit envoyer les données à l’étranger moyennant certaines garanties Utilisateurs (droits) : nous avons des droits de contrôle qui nous permettent de contrôler notre like et notre protection à la vie privée - « Donnée personnelle »: toute information se rapportant à une personne identifiée ou identifiable - Droit à l’auto-détermination informationnelle - Droit d’accès, portabilités, rectification et effacement Propriété intellectuelle : confère un droit exclusif en fonction du cycle de la donnée. Va pas tout protéger mais uniquement certaines qualités de l’objet numérique : ex si le like est non original ou uniquement conservé dans une base de donnée unique du like, a priori la PI ne confère pas d’exclusivité. En revanche, si ce like ou le contenu sous-jacent est original ou mis dans une base de données originale, on peut avoir le droit d’auteur qui se déclenche ou 6 la protection du contenu original ou la protection des bases de données ou même du secret d’affaire. Tout ces biens : droits d’auteurs, base de donnée, secret d’affaire, font partie de la propriété intellectuelle qui va protéger, selon le cycle de la donnée, l’objet numérique Même si le like échappe aux droits d’auteur, au secret d’affaire ou à la concurrence déloyale, on peut, par contrat, nous engager avec une plateforme, prévoir des mécanismes contractuels Ex FB va contractuellement donner accès à ses likes à Google Analytics par contrat Droit administratif : Le préposé à la protection des données (berne) joue un rôle de plus en plus important d’un point de vue du droit administratif. D'abord de collaboration avec les autorités étrangères -> technologie globale, le préposé peut collaborer avec l’UE, USA pour essayer de renforcer notre protection 2. Rôle renforcé avec le transfert massif des données vers l’étranger -> préposé va émettre des garanties et des obligations pour que Meta puisse envoyer le like à l’étranger (serveurs) Droit international privé, procédure : Va dicter où et comment agir en cas de litige. En cas de litige, même si la donnée est dématérialisée et transite par une vingtaine d’Etats à travers le monde, il faut trouver un rattachement physique, local, spatial pour savoir où et comment agir. Tribunal Suisse, Mumbai, maison mère aux USA ? Droit international : La donnée et la massivité du traitement va toucher nos droits fondamentaux Ce caractère international et ces droits fondamentaux nécessitent de plus en plus une harmonisation internationale (like, pandémie covid) -> nécessité de partager certaines données à travers le monde souvent par intérêt général mais il va falloir un coordination internationale Le cycle du like va donc impacter tous les domaines juridiques et toutes les dimensions (individuelle-socioeco-gloable). Avec cette transversalité de la donnée, deux remarques : - Assiste-t-on à une émergence d’un nouveau droit du numérique comme nouvelle spécialité reconnue ? - La gouvernance numérique est auj plus importante qu’hier car il faut appréhender le caractère global et rapide des technologies. 7 DROIT ET NUMÉRIQUE Cours 2 (24.09.2024) : Protection des données Protection des données : données personnelles (protégées par la LPD) mais aussi dans un sens plus large sous l’angle de la propriété intellectuelle. On va aussi parler de régulation des données -> régulations ad hoc spécifiques aux données Actualité // dimensions du numérique, dimension géopolitique États qui maîtrisent l’information les technologies peuvent soumettre les autres États à leurs technologies avec des enjeux de souveraineté numérique Le gouvernement américain veut interdire la technologie chinoise sur les voitures connectées (auparavant avaient émis des droits de douane sur les voitures électriques chinoises en invoquant des enjeux juridiques alors que en réalité c’est souvent des enjeux de souveraineté numérique) Mtn ils invoquent juste des enjeux politiques : problèmes de surveillance et de souveraineté. OpenIA peut-elle légalement réutiliser nos données postées sur les réseaux sociaux, dont X, pour entraîner ChatGPT ? UE RGPD restrictif : · Oui, car nous l’avons accepté via les Privacy Policies. Effets extra-territoriaux RGPD : UE RGPD = loi restrictive / USA loi de protection des données fragmentée varie selon - Déclenché en tant les États. Les lois européennes et Suisses (LPD) dès lors qu’il est déclenché en tant qu’objet de qu’objet de protection, celle-ci va suivre l’itinéraire de la donnée indépendamment de protection (où il est son lieu de localisation. Donc si le RGPD est déclenché en Europe pour les données des déclenché) utilisateurs européens, peu importe si les données sont ensuite traitées dans les serveurs - Indépendant de la chinois, européens, américains ou indiens, le RGPD va continuer de s’appliquer et localisation protéger l’internaute européen. Le RGPD s’applique également peu importe la - Peu importe la citoyenneté mais en fonction de la localisation. citoyenneté Via les politiques de confidentialité on accepte que les données puisses être vendues ou Le RGPD va réguler les en tout cas transférées non seulement au sein de la multinationale (x) mais également CG ex. d’autres entreprises qui pourraient être OpenIA par ex. pour ChatGPT. - fixation d’un prix · « Privacy Paradox » : les internautes souhaitent être protégés mais renoncent à pour le pay or s’intéresser à leur protection en ne relisant pas les CG. consent · « Take it or leave it » ou « pay or consent » (futur modèle d’affaire, prix version - Fixation de critères payante doit être assez bas sinon illégal ; le régulateur est entrain de fixer un prix de licite) : soit je paie et je ne fournis pas mes données personnelles, soit l’inverse transparence/infor · Ce qu’on consent est incertain : on ne sait pas forcément où à qui et mation : à qui et quand nos données sont vendues. Pour pallier cette problématique d’incertitude quand données le RGPD va fixer des critères de transparence/informations à fournir aux réutilisées et internautes afin qu’ils soient au courant de l’étendue du traitement de leurs vendues données : à qui et quand leurs données sont réutilisées et vendues 8 Ex. LinkedIn Quid de LinkedIn ? Il y a un flou, bcp de médias disent que la plateforme exploite nos données utilisateurs pour entraîner son ou ses modèles d’IA sans consentement. « Ses » parce que LinkedIn appartient à Microsoft et Microsoft est majoritairement dans OpenIA pour ChatGPT donc si LinkedIn entraîne son propre modèle d’IA il est possible qu’elle utilise les mêmes données pour entraîner d’autres IA qui font partie de son groupe de multinationales Microsoft et peut être OpenIA Acceptation by default Dans les paramètres de confidentialité sur sol US il y a un nouvel onglet dans Data (US) VS acceptation by Privacy qui s’appelle Data for Generative AI Improvement → par défaut les données design (RGPD) LinkedIn sont réutilisées par l’IA. Cependant sur sol suisse/européen il n’y a pas un tel onglet d'entraînement des IA car le RGPD pose des exigences de transparence et consentement bcp plus strictes que les lois permissives américaines → acceptation by design (opting in) vs by default. L’importance des données : Auj les données ont une importance cruciale pour toute l’économie du numérique (économie des données). Société numérique qui repose massivement sur les données (personnelles et non personnelles), dans tous les secteurs · Voitures autonomes · Secteur du divertissement ex Spotify qui prétend pouvoir créer des playlist fondées sur notre ADN si on accepte de faire un test envoyé aux US) · Domaine de la justice : les données personnelles sont de plus en plus utilisées non seulement les données client pour alimenter des logiciels d’avocats pour créer des profils ou prédire l’issue de litiges mais aussi pour la justice prédictive qui analyse la dangerosité de criminels sur la base des infos et antécédents de la personne. Il y a également un logiciel qui permet d’anticiper les crimes avant qu’ils n’arrivent basés sur des données des réseaux sociaux et des senseurs disposés dans les villes. · Domaine de la santé : FB avait proposé grâce à la reconnaissance faciale à l’époque qu’elle puisse identifier notre image et si on aura plus tard des pb de peau ou autres problèmes de santé (plus possible auj). Le volume des données est devenu presque incontrôlable auj puisqu’il suffit de penser à notre tel ou ordi qui collecte des données continuellement (géolocaisées, recherches sur internet, de mouvement etc.) à rien qu’avec ça on produit des milliards de données par jour Comment faire quand on sait qu’il y a un volume presque incontrôlable de données pour les encadrer juridiquement ? Définition technique de la donnée (en fct. du 1) Il faut réussir à définir qu’est-ce qu’une donnée à une manière = définition technique degré d’affinage) → La donnée peut être définie par rapport à son degré d’affinage Les informaticiens et les datascientists définissent souvent cela avec cette pyramide. o Donnée : information 0 et 1 = dénominateur commun, peut être tout et n’importe quoi o Information : donnée structurée o Connaissance ex logiciel qui 9 permet de faire un calcul o Compréhension ex IA qui donne des résultats de type prédictif Ce qui nous intéresse est comment définir légalement la donnée, car suivant le qualitatif de la donnée on aura un régime légal différent qui pourra s’appliquer. - Données personnelles (adresse IP, données géo-loca, recherche sur Internet) - En fonction de la vont être protégées par la protection des données personnelles LPD en Suisse et qualification de la donnée, la RGPD en Europe ex. une conversation Facebook. 3 régimes légaux peuvent - Si cette même (ou autre) donnée est cette fois-ci une information originale ex s’appliquer (protection des une conversation FB sur laquelle on a un texte original, ex. photographie de données, propriété vacances qui est originale → on va appliquer la propriété intellectuelle intellectuelle, contrats) - Une même info peut être protégée simultanément par les deux régimes juridiques ex. photo de vacances : va intégrer notre visage personne individuelle = protection des données + si originale à propriété intellectuelle - Même info peut aussi être protégée sous l’angle des contrats ex car on aura consenti via les conditions générales de FB à des conditions générales et FB peut aussi prévoir contractuellement des droits et obligations avec des autres prestataires sur notre photo. → une même info pourrait être protégée par les 3 régimes légaux simultanément. Quand on utilise les réseaux sociaux, notamment FB, on consent et octroie une licence mondiale pour qu’il puisse réutiliser nos photos et autres contenus originaux. On reste titulaire de nos droits d’auteurs mais on donne un droit d’usage mondial à FB, Meta voir des tiers. Protection des données Protection des données personnelles personnelles Cas « ChatGPT » question : Dans quelle mesure et pourquoi il existe des plaintes collectives en Europe et aux US qui se plaignent que Microsoft ou OpenIA réutilisent les données des utilisateurs et sur quels motifs ? [L’année dernière le régulateur italien a fait interdiction à ce que ChatGPT soit déployé sur sol italien en tout cas pendant un mois au motif qu’il y avait des enjeux de protection des données personnelles]. La classe est séparée en deux groupes : Groupe 1 (asso civile de défense de la vie privée) : Considère que le système est incompatible avec le droit. Pourquoi ? o Principe du consentement o Problème du principe de protection by design by default → doit pro-activement accepter la réutilisation de nos données personnelles o Problème de non-représentant sur sol européen Groupe 2 (OpenAI) : Considère que le système est conforme au droit. Comment argumenter, cas échéant, moyennant quelques ajustements ? · Réponse au grief du consentement à pourtant vous avez lu les conditions générales · Données sont anonymisées 10 · Données de source publique car déjà dispo sur Internet Réponse : Les lois de protection des Rappel : les données sont de tout manière protégées par différentes lois. En Suisse c’est données protègent les la loi sur la protection des données (LPD) et en Europe c’est le règlement général sur la données identifiées (ex. protection des données (RGPD). Ce qu’il faut retenir c’est que ces deux lois s’appliquent nom passeport) et dès qu’il s’agit d’informations personnelles, qu’il s’agisse d’une information identifiée identifiables (ex. numéro comme le nom et prénom sur notre passeport ou une info identifiable = information a AVS) priori non personnelle mais qui est identifiable en croisant une info supplémentaire ex notre num de carte AVS ou étudiant, adresse IP (par ex Swisscom peut trouver qui est derrière l’ordi). Ces lois ont des effets extra territoriaux dans la mesure car s’appliquent non seulement sur sol suisse mais également à l’étranger à la protection LPD/RGPD va suivre le voyage/itinéraire de la donnée et la loi va continuer de s’appliquer Trois piliers (LPD, Une fois que la LPD ou le RGPD est déclenché on a trois piliers qui simplifient la RGPD) lecture de ces lois: (1) Proportionnalité ; Finalité ; Licéité (1) Principes de protection des données : o Principe de proportionnalité : je ne peux pas traiter plus de données que (2) Obligation du nécessaire responsable de o Principe de la finalité : je dois traiter uniquement les données selon les traitement/sous-traitant finalités indiquées lors de l’acceptation du traitement des données : Devoir o Principe de la licéité : le traitement doit reposer soit sur le consentement d’information de l’individu ou d’autres motifs justificatifs, notamment l’intérêt public ex. Covid ou un intérêt privé prépondérant ex. intérêt privé commercial de (3) Droits des individus : ChatGPT de s’entraîner - droit d’opposition en tout temps (2) Obligations du responsable de traitement/sous-traitant : il existe toute - Droit d’accès en tout une série d’obligations dans la LPD que tous prestataires doivent respecter. Dont temps (demander le devoir d’information qui suppose que le prestataire peu importe s’il a collecté quelle données sont le consentement ou repose sur un autre intérêt public/privé il a l’obligation de traitées) fournir des infos détaillées sur le traitement des infos. (3) Droits de contrôle qu’on les individus sur leurs données : tout individu a le droit et peut contrôler ses infos p.ex. avec un droit d’opposition en tout temps et un droit d’accès en tout temps pour demander quelles données sont traitées. Même les données Remarques préalables : personnelles que l’on a · Les données personnelles rendues accessibles et visibles à tout un chacun rendues publiques sont (ex. nos infos sur notre mur Facebook) continuent d’être protégées par la LPD ou protégées par la RGPD. LPD/RGPD · Il faut distinguer entre les données collectées directement auprès des internautes de ChatGPT (= « données-utilisateurs » → lors de la création du Données-utilisateurs/ compte) et les données collectées indirectement sur internet par ChatGPT données publiques (ex Reddit) ( = « données publiques » qu’utilise ChatGPT pour s’entraîner) 11 Différents acteurs : · Distinguer entre le (1) scaper = celui qui va siphonner sur internet, qui sont les - scaper (récupère données publiques (2) opérateur du modèle (ex OpenIA pour ChatGPT) et les les données (3) réseaux sociaux dont les données sont scrapées (ex Reddit) -> en fonction publiques) de qui on va traiter il existe des obligations qui vont varier - opérateur de modèle (Open IA) Comment appliquer ces différentes règles ? ; - réseaux sociaux Acteur 1 : opérateur du modèle (ex OpenIA pour ChatGPT) dont les données sont scrapées [Rappel : pour les internautes suisses de ChatGPT la LPD aura des effets (Reddit) extra-territoriaux elle va être déclenchée en Suisse pour l’internaute Suisse, suivre l’itinéraire de la donnée peu importe que serveur dans lequel elle est traitée se situe aux Application des 3 piliers USA]. RGPD/LPD : o 1er pilier : ce sont les principes de protection des données soit Acteur 1 : opérateur du proportionnalité, finalité mais surtout licéité selon lequel tout traitement doit modèle : reposer soit sur le consentement, soit sur d’autres motifs justificatifs p.ex. intérêt public ou intérêt privé prépondérant d’OpenAI : 1. Principes de protection · Données utilisateurs : si je créé un compte utilisateur sur des données (prop. ; finalité ; licéité = consentement/autre consentement · ✅ → principe de licéité ✅ ChatGPT je consenti à ce que mes données soient réutilisées à Données publiques (scrappée sur internet par l’IA ex. reddit, motif justificatif) FB, YTB) pour lesquelles il n’y a pas eu de consentement direct. Pour - OK consentement ces données il n’y a pas de consentement donc on peut sortir l’argument pour de l’intérêt public (au dev du chat) et privé prépondérant à ce que données-utilisateurs commercialement Chatgpt puisse continuer d’être développé + - Données publiques : innovation. Cf. s’agissant du principe de licéité le régulateur italien a débat : demandé à OpenIA de retirer toute référence sur l’intérêt légitime/privé - argument avancé par prépondérant car pour lui cet argument invoqué sur les politiques de OpenIA = intérêt confidentialité de Chat étaient insuffisantes/pas claires. public → dév. chat / - Arrêt google street view : ils ont pu plaider l’intérêt public des intérêt privé citoyens d’accéder à Google street view prépondérant : aspect - Quid si uniquement intérêt privé commercial ? c’est une question commercial du dev de controversée qui n’est pas encore réglée chat + innovation - Argument régulateur o 2e pilier = devoir d’information : indépendamment du 1er pilier, italien : a demander à consentement ou non, en toute hypothèse le 2e pilier doit être respecté, les chat de retirer ses obligations dont le devoir d’information en tout temps. La manière dont référence à l’int privé l’information est fournie est peu claire on est conscient que, mais on a pas (politique conf), car l’information détaillée, c'est-à-dire dans quelle étendue nos informations sont peu clair. traitées (uniquement données utilisateurs ou aussi données publiques sur FB ou Reddit ?). Partant, le régulateur italien pour cette raison a dit « OpenIA have to 2. Devoir d’information : draft and make available, on its website, an information notice describing the en tout temps/hypothèse arrangements and logic of the data » Régulateur italien : OpenIA devrait ajouter la o 3e pilier : droit de contrôle des individus : droit d’accès : selon lequel en tout notice d’information sur le temps et tout hypothèses je peux accéder à mes infos perso et demander à traitement des données ChatGPT l’étendue de mes données perso, cas échéant pour ensuite les effacer (droit à l’oubli) en tout cas à ce jour le droit d’accès n’était pas du tout octroyé. 12 3. Droit d’accès + droit à Si on faisait la demande (à la période du régulateur italien), ChatGPT ne l’oubli en tout répondait pas dans les 30j mais prenait des mois et ne permettait que d’effacer un temps/hypothèse : historique de données remontant à 6 mois or il est sensé me donner accès à OpenIA ne répondait pas l’intégralité et effacer l’intégralité de mes données si je le demande. (Débat parce dans les 30j + permettait que une fois entraînée avec nos données on ne peut pas revenir en arrière à moins uniquement d’effacer un de détruire la machine « humans forget, machins remember") historique de 6 mois Acteur 2 : scraper (robots, courtiers de données qui vont scraper internet pour ensuite les Acteur 2 : Scraper : vendre et les utiliser pour ChatGPT) → rappel : effets extra-territoriaux LPD/RGPD 1. Principes de protection o 1er pilier (principes) : principe de finalité : les données doivent uniquement des données (prop. ; être collectées et réutilisées selon les finalités indiquées au moment de la collecte finalité ; licéité) → Si la finalité de scraping n’est pas clairement incompatible avec la finalité - La finalité de scraping initiale indiquée dans la politique de confidentialité, on peut considérer que ne doit pas être c’est conforme (ex dans la politique de confidentialité de l’appli c’est écrit nos clairement infos peuvent être réutilisées par d’autres prestataires auxquelles les données sont incompatible avec la transférées, vendues, scrapées). En revanche s’il n’y a pas de politique de finalité indiquée dans la confidentialité qui prévoit le scrapping ou une finalité large qui l’englobe il y a politique de conf (= violation du principe de finalité. écrire : vos données o Principe de licéité, consentement : intérêt privé ou public prépondérant à peuvent être réutilisées scraper les données pour les réutiliser comme modèle d’entraînement par des tiers) sinon → violation. o 2e pilier : devoir d’information : s’agissant de mes données réseaux sociaux (publiques) sur FB, LK, Reddit l’information semble a priori insuffisante - Licéité, consentement vis-à-vis de scraper car j’ignore quels sont les robots qui scrappent mes données : intérêt privé/public indiqué par les scaper = réutilisées comme modèle d'entraînement 2. Devoir d’information : a priori insuffisant (sait pas quels robots scrappent) Acteur 3 : réseaux Acteur 3 : les réseaux sociaux dont les données sont scrapées sociaux dont les données sont scrapées Les données perso même si rendues accessibles sur les réseaux (publiques) continuent à être protégées par les lois de protection des données 3. Droit d’accès : peut prévoir le scrapping par Il existe une déclaration conjointe des régulateurs suisses et européens de protection défaut mais doit avoir des données qui demandent aux réseaux sociaux de protéger les données des internautes fonctionnalité pour le vis-à-vis des scrapers. On peut avoir un par défaut la possibilité que ces données stopper. soient scrapées, en revanche on devrait pouvoir avec les fonctionnalités demander à stopper ce scrapping 13 Propriété intellectuelle Propriété intellectuelle · Informations personnelles → protection des données · Informations originales → droit d’auteur ou plus généralement la propriété intellectuelle Cas New York Times : Cas « New York Times » NYT se plaint que ses données sont scrapées par OpenIA pour entraîner ChatGPT et demander à faire interdiction à cette réutilisation des données ou du moins monétiser ces informations Argument NYT : Chat réutilise les contenus sans Groupe 1 (NYT) considère qu’il s’agit d’une violation de ses droits. Pourquoi ? rémunération ou en tout · ChatGPT réutilise les contenus sans rémunération ou en tout cas autorisation cas autorisation Groupe 2 (OpenIA) considère que le système est conforme au droit. Pourquoi ? Argument OpenIA : · Du fait que les articles (ou fragments) sont en libre accès, pas de problèmes de articles sont en libre accès les réutiliser tant qu’on respecte le droit moral + respect des droits · Est-ce que les articles sont vrmt originaux ? Pas écrit par une IA? Car si pas moraux (ex. intégrité) originaux la propriété intellectuelle ne s’applique pas 3 questions des droits 3 grandes questions classiques du droit d’auteur à l’égard de l’IA d’auteurs à l’égard de l’IA : 1) Est-ce possible de réutiliser des œuvres préexistantes comme données d’entraînement ? 1) Possible de réutiliser des œuvres En principe ça n’est pas possible de réutiliser puisque le droit d’auteur a un champ de préexistantes comme protection très large qui s’étend à toute utilisation d’input qui soit ou non données reconnaissable dans l’output → même si ChatGPT recrache qqch de nouveau, le d’entraînement ? simple fait qu’il utilise du contenu du NYT va déclencher l’étendue de protection du droit d’auteur. Le simple fait que Chat utilise le contenu (Input, En revanche il existe une exception en Europe et en Suisse de Text & Data Mining : qu’il soit reconnaissable Permet au nom de la recherche scientifique de reprendre des contenus pré-existants ou non dans l’output) va comme les articles NYT. Cette exception en Suisse et en Europe est assez restrictive déclencher l’étendue de puisqu’il est possible de la renverser par mesure de protection ou par contrat protection du droit respectivement de déclarer officiellement que l’on refuse que cette exception s’applique d’auteur (opt out). C’est ce qu’on fait tous les consortiums d’artistes européens pour rendre inapplicable cette exception. Exception UE/CH : Texte et Data Mining : au nom Aux US on a un système plus souple de « fair use » selon lequel dans certains cas selon de la recherche des critères il est loyal, licite de réutiliser des contenus pré-existants. C’est tout scientifique on peut l’enjeu actuel des 30 procès actuels de droits d’auteur : est-ce que c’est un usage loyal de reprendre des contenus réutiliser les contenus du par ex NYT? La réponse des juges aura un énorme impact sur préexistants (très le développement du l’IA aux USA. restrictifs, possible de renverser : mesure de Un des critères pour l’usage loyal : existe-t-il un intérêt transformatif public qui protection ; contrat ; permet de plaider que l’usage est loyal ? Parmi l’usage transformatif c’est se dire que déclaration d’opt out) Chat donne un nouveau contenu, usage transformatif aux internautes qui se distingue du 14 US : système “fair use” NYT. Cf. affaire google book : extrait du livre à google book a plaidé l’usage (plus souple). Un critère : transformatif en disant que c’était une nouvelle utilisation car les internautes ont intérêt transformatif public uniquement des extraits et s’ils veulent tout lire, ils iront dans les librairies. Cependant ex google book qui ne l’usage de Chat est tellement nouveau qu’en principe on achètera plus le NYT et donc s'appliquera pas en on ne pourrait en principe pas transposer cette JP. principe au NYT 2) Possible que les 2) Possible que les résultats de ChatGPT intègrent/reproduisent des données résultats de Chat pré-existantes dans le résultat (output) ? intègrent/reprodu isent des données A priori la réponse est non, on ne pourra pas imiter à l’identique un article du NYT, car pré-existantes il y a une violation de droit d’auteur (fait écho à la première question) dans l’output ? MAIS cette question devient de plus en plus complexe avec « l’imitation du style de - En principe non, l’auteur ». Ex Est-ce que je peux imiter la musique de Drake (et the Weeknd) ? car Chatgpt : très (Musique, voix, paroles) Au sens du DA on ne peut pas protéger le style d’un artiste, précautionneux des seul est protégeable les éléments distinctifs spécifiques d’une œuvre de l’artiste et pas le droits d’auteur style général de l’artiste. Je peux donc générer des articles dans le style du - Le style n’est pas NYT/morceaux dans le style de Drake. protégé par les En revanche, ce que peut invoquer Drake and the Weeknd c’est la protection de leur droits d’auteur (on personnalité sur la voix ou la concurrence déloyale pour parasiter, se faire dans le style. devrait utiliser d’autres moyens : protection personnalité, concurrence déloyale) 3) Est-ce que le résultat de ChatGPT est protégé en tant que nouvelle œuvre du 3) Est-ce que le résultat droit d’auteur sachant qu’il est généré par une machine artificielle ? de Chat est protégé en tant que nouvelle œuvre du droit d’auteur Dans la plupart des juridictions, le droit d’auteur exige que l’œuvre protégeable soit une sachant qu’il est généré création humaine (pas animale ni robot). par une machine artificielle ? Tout l’enjeu aujourd’hui est de savoir : qu’est-ce qu’une œuvre purement générée par une machine et une œuvre avec au moins un humain derrière ? Plus la machine est Sans créateur physique, la autonome et se distancie du créateur humain (utilisateur prompteur ou développeurs), création tombe dans le plus le résultat va tomber dans le domaine public. domaine public cf exemples singe et oeuvre numérique théâtre d’opéra spatial 15 Régulation des données : Régulations des données Au-delà de la propriété intellectuelle/protection des données, d’autres lois spécifiques s’appliquent aux données dont la régulation de l’IA (loi ad hoc spécifique, problématique : éthique, discrimination, manipulation). Si on prend la stratégie digitale de l’UE avec les différentes législations, on est que dans le socle « AI Strategy - AI Régulation » alors qu’il existe de nombreuses lois qui s’appliquent simultanément aux données. · Une stratégie pour les données qui est englobée par le Data Act et le Data Governance Act · Cyber-sécurité qui fait l’objet de lois spécifiques. · Les réseaux sociaux · L’IA → régulation par le règlement IA Pour montrer qu’au-delà des domaines très impactés comme propriété intellectuelle et protection des données, on a aussi d’autres lois spécifiques qui s’appliquent aux données dont la régulation de l’IA. Premier règlement Régulation de l’IA : les régulateurs (dont l’UE) ont réalisé que quand bien même nous mondial consacré à l’IA avons des lois de protection des données, des lois de protection intellectuelle, des lois (IA Act): régulation pour les différents objets/contrats, l’IA pose des enjeux tellement importants qui pyramidale : sortent du cadre PI et PD qu’il faut lui consacrer une loi ad hoc spécifique. Parmi les - Risques problématiques qui sortent du cadre des PI et PD on a : inacceptables · L’éthique : les voitures autonomes posent des enjeux éthiques ex tuer 3 vieux - IA réputées à ou 1 jeune risque élevé · Discrimination : l’IA va amplifier les stéréotypes humains - Risques limités ·Manipulation : 70% des contenus sur les réseaux dans 3 ans seront des - Risques minimaux contenus artificiels → permet de manipuler les internautes en générant des contenus manipulatoires On a donc de par le monde des régulations de l’IA qui commencent à émerger de plus en plus : notamment le Conseil de l’Europe qui a un traité plutôt international qui fixe des principes cadres et l’UE qui se veut pionn : ière (comme pour le RGPD) avec 16 l’IA→ premier règlement mondial consacré à l’IA qui réglemente l’IA de manière très spécifique. Le règlement prévoit la régulation de l’IA de manière pyramidale : plus le risque est élevé, plus les dispositions sont contraignantes et restrictives : - Tout en haut: risques inacceptables → interdiction ex. les notations sociales comme le crédit social chinois ; par ex reconnaissance faciale dans les lieux publics, sauf si motif public notamment durant les JO de Paris : reconnaissance faciale devant les stades (≠ reconnaissance globale) - IA réputées à risque élevé p. ex outils conversationnels/de modèle de langage à obligations de documentation détaillée sur les sets de données pour passer outre leur opacité - Risques limités ex IA simples comme systèmes filtrants à filtres anti-spam sur l’ordi → il faut juste une transparence - Minimal risk → aucune obligation spécifique Cours 3 (01.10.24) : Propriété intellectuelle & numérique 1. Introduction 1. Introduction La PI est un des domaines ayant été affecté le plus tôt par le droit numérique. Il est important de savoir distinguer le droit des brevets/marques/auteur, mais avec un peu de recul, il est assez logique de considérer comme un tout la PI ayant dû faire face à l’évolution technologique → la PI a pour but de protéger l’innovation. Le but n’est pas de parler de disruption complète mais d’évolution ex. vinyle à Spotify : on passe d’un environnement tangible à un environnement totalement dématérialisé. Le domaine le plus L’adaptation va certes être variable en fonction du domaine, notamment avec le début menacé = DA. d’internet, le domaine le plus menacé était le DA qui a fait l’objet de révisions législatives et de nouveaux traités internationaux. On peut cependant considérer sur le plan général qu’une adaptation a été faite des différents domaines de PI au monde numérique. 17 L’évolution se fait par la → L’évolution se fait par le biais de révision législatives ou évolution de la JP voie réglementaire (= modifie la loi, adopte Un certain nombre de choses se passent à GVA grâce à la présence un certain nombre nouveaux traités) et par la d’acteurs : OMPI/WIPO ; OMC qui contribuent à la gouvernance du numérique. On a le soft law ; encore + doux phénomène de la GVA internationale mais aussi la GVA internationale numérique. que la soft law : → Ex. « Traité Internet » de l’OMPI, GVA, 1996 : ces traités internet de l’OMPI réunions, documents sont des traités internationaux comme tels. Ils visaient à clarifier que notamment OMPI ex. Generative AI celui qui met à disposition un contenu protégé en ligne sans autorisation → droit : Navigating IP) exclusif qui nécessite l’autorisation de l’auteur. Les évolutions se font de manière classique par la voie réglementaire (= modifie la loi et adopte de nouveaux traités) mais aussi toute une activité de soft law (pas contraignant) → ça peut dans cet esprit de ligne directrice non contraignante avoir une certaine importance ; on trouve la soft law dans les décisions des tribunaux qui citent parfois des recommandations (adoptées par des organes OMPI). Encore plus doux que la soft law : L’OMPI organise régulièrement des réunions, document qui vient de sortir « Generative AI : Navigating IP » qui vise de faire un point de la situation. L’idée n’est pas de donner des solutions mais d’avoir un lieu de discussion. À la différence de la doctrine, ici c’est un effort collectif et institutionnel → validé par un organe x ou y. 2. Commercialisation numérique d’objets 2. Commercialisation numérique d’objets physiques physiques La commercialisation numérique (en ligne) de produits physiques permet le commerce de → contrefaçon (≠ originaux → violation du droit des marques, auteurs, …). Il y a Lutte contre la alors un défi important à retrouver la trace et faire cesser les activités. contrefaçon En réalité, bcp d’activités respectivement de litiges vont tourner autour des plateformes ex Tik Tok on sait bien que dans l’environnement numérique on a affaire à des intermédiaires qui jouent un rôle assez critique dans les questions qu’on va aborder. Que peuvent faire les titulaires ? Initiative suisse soutenue par l’IFPI qui vise à sensibiliser et lutter contre la piraterie “stop piracy” En tant que titulaire des En tant que titulaire on va vouloir agir : droits de PI on peut agir : o Contre les vendeurs/distributeurs de contrefaçon → (moyen le + direct) - Contre la source viser la source mais peut-être qu’il se cache derrière une société X et se trouve (vendeurs/distribut à l’autre bout du monde eurs, pas facile car o Aller à la chaîne (clients finaux, ceux qui achètent) → pas facile en peut se cacher Suisse, car le consommateur final est souvent protégé en suisse en cas derrière une d’usage privé. En suisse on peut agir au moment du passage de frontière à société à l’autre mesures de lutte contre les importations capillaires (= micro-importations), bout du monde) mais une fois que c’est en Suisse si l’usage reste privé (ne commercialise pas), - Contre le client on ne peut rien faire. final (pas facile en o Agir contre la plateforme intermédiaire à certaines conditions. Les Suisse, car usage titulaires vont agir contre les intermédiaires, particulièrement s’ils sont privé en Suisse → puissants et ont des ressources pour faire en sorte qu’on reconnaisse leur protégé) : au responsabilité. La terminologie évolue avant on parlait des ISP (internet passage de la service providers) et maintenant de la responsabilité des plateformes mais les frontière principes restent pour des raisons pratiques et financières. Il est plus pratique - Contre la de trouver qu’Amazon est responsable de la violation du droit des marques → 18 plateforme protection plus facile. intermédiaire (si puissant) ex. → Il y a une augmentation massive de la contrefaçon. Amazon. Qui viole le droit de PI en cas de vente en ligne de contrefaçons ? Violation du droit des marques si usage dans la Ex. droit des marques : Règle: « Le titulaire de [la] marque enregistrée est habilité à vie des affaires (ø usage interdire à tout tiers, en l’absence de son consentement, de faire usage (utiliser) dans la privé) vie des affaires (≠ usage privé), [...] d’un signe [identique à sa marque] » pour des produits identiques à ceux enregistrés. Je ne vais donc rien pouvoir faire contre le client final parce que lui n’en fait pas usage dans la vie des affaires (usage privé). Les vendeurs en font un usage illicite dans la vie des affaires, quid de la plateforme ? Arrêt de la CJUE dans l'affaire C-567/18 CotycAmazon du 2 avril 2020 Violation du droit des marques des plateformes intermédiaires : Arrêt CJUE Amazon : - La responsabilité dépend de la connaissance/si a → Ces questions de responsabilité vont tourner autour de la connaissance. été notifiée (acte Ex si je suis Amazon, je stocke des produits mais je ne sais pas que c’est des produits de de participation à contrefaçon ≠ illicite. Sa responsabilité va dépendre de la connaissance. la viol. du droit Ce n’est pas une participation à la violation du droit des marques mais un acte neutre. des marques VS L’élément de connaissance est important, car une grande entreprise comme Amazon ne acte neutre) veut pas surveiller les millions de paquets qu’elle fait transiter, elle veut alors être responsable du moment où elle a connaissance, est notifiée (=dire attention ça c’est un produit de contrefaçon) (c’est également une chose importante en droits d’auteurs). Arrêt CJUE : Arrêt de la CJUE dans l'affaire C-148/21 Louboutin c. Amazon du 22 décembre Louboutin c. Amazon : 2022 Si la plateforme crée Une question où la Cour donne une réponse assez sophistiquée. La question va être de l’impression qu’il n’y a savoir si en présentant les produits Louboutin, Amazon y appose sa marque de telle sorte pas de distinction qu’elle donnerait l’impression que ça créerait l’impression que Amazon valide et (confusion) entre ses participe activement à la contrefaçon. C’est une question d’impression, pas tranchée produits et les produits de par la Cour. Il faut examiner s’il y a une sorte de confusion du pdv du consommateur contrefaçon fournis par « ces circonstances peuvent rendre difficile la distinction claire et donner à l’utilisateur des vendeurs tiers sur sa informé et raisonnablement attentif l’impression que c’est Amazon qui commercialise plateforme → peut en son nom et pour son propre compte, les produits Louboutin offerts à la vente par imaginer une des vendeurs tiers » → si on crée l’impression qu’il n’y a pas de distinction entre les responsabilité produits d’Amazon et ceux fournis par des tiers on peut imaginer une responsabilité. 19 En résumé, la plateforme qui vend et laisse apparaître des produits de contrefaçon doit être vigilante pour éviter sa responsabilité. Elle ne doit pas vendre de manière trop Instruments proche et faire la distinction entre les produits de tiers et les siens qui doivent également extrajudiciaires internes être originaux. aux plateformes intermédiaires pour lutter On a des procédures judiciaires mais les plateformes elles-mêmes mettre à disposition contre la contrefaçon des instruments extrajudiciaire pour lutter en amont contre la contrefaçon directement sur leur plateforme → « Amazon Counterfeit Crimes Unit (CCU) ». En réalité, les plateformes ont intérêt à avoir du trafic, il y a alors peut-être une tension de ce pdv là. 3. Commercialisation 3. Commercialisation numérique d’objets numériques numérique d’objets numériques « Tout numérique »: activités en ligne / numériques portant sur des biens numériques (p.ex. musique, photographie, biens virtuels) avec un focus particulier sur le droit d’auteur et des marques. Les utilisateurs apprécient particulièrement les plateformes comme Spotify : · Qualité parfaite des copies numériques · Globalité et efficacité des moyens de communication (Internet) · Compression des données La technologie comme ⚠️ · Coûts de reproduction et de distribution pratiquement nuls La technologie = une menace pour le droit d’auteur, car ça veut dire que n’importe qui de presque n’importe où peut diffuser pratiquement sans coûts, sans droit, des menace pour le DA (tlm contenus protégés. peut n’importe où diffuser sans coûts/droits, des Les trois niveaux de protection : contenus protégés) 1. LDA 2. DRM (Digital Rights Management) 3. Protection légale contre le contournement des DRM La technologie comme Le droit d’auteur continue à s’appliquer, si une personne utilise sans droit elle violera les soutien aux DA (para droits d’auteur. Cependant, de plus on va essayer d’utiliser la technologie pour DA) : on protège le protéger le contenu avec les « pay wall » qui nous force à payer nos abonnements et contenu avec des pay wall nous inscrire pour avoir accès au contenu. On nous empêche d’accéder à un contenu (payer pour avoir accès) par la technologie et plus par la loi (paradroits d’auteurs). Si on ne respecte pas cela, en + de la loi. on sera sanctionné par les droits d’auteurs. Dans ce cas-là, il faut voir la technologie comme un soutien pour le droit d’auteur. Digital Rights Management art. 39a-c LDA : tout procédé technologique de contrôle d’accès, de protection, d’identification ou d’authentification. Contre qui peut-on agir ? Les personnes impliquées à la violation du DA et contre qui pourra-t-on agir ? * 20 · Personnes mettant à disposition le contenu en ligne à à la source (A) · Personnes hébergeant le contenu en ligne à équivalent de la plateforme Responsabilité pour (host providers) (B) violation du DA · Personnes donnant accès au contenu en ligne → pipelines p.ex. Swisscom - Personnes (access providers) (C) mettant à · Personnes accédant au contenu en ligne → client final (D) disposition : * NB. Liste non exhaustive (p.ex. hyperliens, etc.) responsabilité directe Responsabilité pour violation du droit d’auteur - Personnes - Personnes mettant à disposition (sans autorisation) le contenu en ligne (A): hébergeant : responsabilité directe → il n’y a pas tellement de difficulté pour agir contre A car responsabilité c’est une violation directe, la difficulté est d’identifier A, qui est potentiellement indirecte, si un individu qui est caché sous un pseudo, puis peu intéressant d’attaquer un seul contribution de individu plutôt que la plateforme manière coupable - Personnes hébergeant le contenu en ligne (host providers) (B) & personnes - Utilisateurs du donnant accès au contenu en ligne (access providers) (C): responsabilité contenu : indirecte ? Il faut se demander s’ils contribuent de manière coupable à la exception de diffusion du contenu illicite. Il faut distinguer les activités respectives de B et C, l’usage privé ce n’est pas pareil d’héberger que de transmettre du contenu illicite (par ex une (restrictive ex. star vidéo) et de transmettre ce contenu illicite. Le degré de responsabilité est ø usage privé) → différent en Suisse. pas de - Personnes accédant au contenu en ligne (D): pas de responsabilité (si art. 19 al. responsabilité 1 let. a LDA) → protégé par l’exception de l’usage privé → si une star poste une photo sur laquelle elle n’a pas les droits d’auteurs sur son propre profil, Responsabilité des contenu de l’audience on est plus dans l’usage privé. Il faut comprendre l’usage intermédiaires et privé de manière restrictive, un contexte non commercial. hébergeurs : → Toute utilisation à des fins personnelles ou dans un cercle de personnes étroitement liées, tels des parents ou des amis. Système de notice, take down et stay down → si La responsabilité des intermédiaires et hébergeurs B & C : on a un système qui varie on est avisés on doit être d’un État à l’autre, on a une responsabilité moins ferme en Suisse qu’à l’étranger qui réactif et supprimer le résulte d’une disposition récente art. 39d LDA. Elle se caractérise par ce système qui est contenu illicite et le connu sous sa désignation « notice, take down and stay down » → l’esprit est de dire, vu garder inaccessible (mais le volume de contenus sur une plateforme, on ne va pas pouvoir considérer que la pas besoin d’être proactif, plateforme est responsable indirectement de la violation du DA précédemment du Droit moins ferme en Suisse) des marques, sauf connaissance (= qu’on notifie la plateforme). En principe, on considère que la plateforme n’a pas à être proactive (pas l’obligation de filtrer de manière proactive). 21 → Reasoning : les titulaires de droits font la notice. On ne veut pas que les plateformes agissent de manière proactive, car ce n’est pas évident d’imposer à un tiers de filtrer en amont. Il y a des enjeux de tension : protection des droits de PI et des enjeux sociétaux tels que l’intérêt public/liberté d’expression. ·Donc on a un système de notice, la conséquence d’être avisé = l’enlever : Notice, take down & stay down A certaines conditions, on va dire que je dois faire en sorte et c’est une sorte de filtre, Pondérer les intérêts en pas proactif mais réactif, que cela reste inaccessible (stay down) en plus d’enlever le présence : Protection des contenu (take down). titulaires des droits VS Si on met de côté le stay down, le notice and take down est une approche qu’on retrouve liberté assez généralement et repose sur l’idée que vu le volume on prévoit une obligation de d’expression/censure réagir en enlevant le contenu illicite ≠ pro actif. Cf. p. 604 message CF (FF 2018 559, 604) : CF schéma à la fin du tableau → On a un système qui vise à pondérer les intérêts en présence : → La protection des titulaires de droits VS faire en sorte que ce ne soit pas trop dommageable à la mise à disposition de contenus pas illicite et de sanctionner avec le stay down que des violation caractérisées (= personne qui répètent). Cet article 39d LDA n’a pas fait l’objet de JP. Enjeu de l’obligation de Enjeu : obligation de filtrage des contenus, car il y a des questions de liberté filtrage des contenus : d’expression et de censure. Vu le rôle de ces organes privés bien qu’ils ne soient pas risque d’overblocking. étatiques, c'est problématique. (l’obligation de filtrage n’est pas absolue mais vise à se Selon directive UE, elle fonder sur des efforts raisonnables « best effort » Directive (UE)2019/790 du n’est pas absolue, il faut Parlement européen et du Conseil du 17 avril 2019 sur le droit d'auteur et les droits des efforts raisonnables voisins dans le marché unique numérique (art. 17)) → Risque d’over-blocking cf. arrêt de la CJUE Pologne c. Parlement et Conseil : la Pologne contestait la légalité (au motif de la violation de la liberté d’expression) de la réglementation résultant de la directive → cependant la directive a été déclarée constitutionnelle. Ce sont des questions très débattues, même ailleurs : Notion de “fair use” Quid d’une simple vidéo familiale avec une musique en fond ? En droit américain les floue, incertaine, peu de usages d’une œuvre protégée peuvent être justifiés par le « fair use ». C’est une prévisibilité, sécurité exception générale dont les contours sont délicats à apprécier. En principe en Suisse et juridique. UE à l’inverse on a des exceptions très spécifiques (usage privée ; parodique). Du pdv de la prévisibilité et sécurité du droit le fair use est incertain. On a des affaires qui montent et sont très coûteuses. ATF : pas d’obligation comme telle du Quid des fournisseurs d’accès qui facilitent et n’opèrent que le transfert du contenu ? fournisseur de bloquer ATF 145 III 72: pas d’obligation comme telle du fournisseur de bloquer l’accès, car l’accès, car on considère on considère qu’il n’est pas responsable de ce que font les tiers. qu’il n’est pas responsable de ce que → «L'Access Provider (fournisseur d'accès Internet) ne répond pas, en tant que 22 font les tiers. (jusqu’à participant, de la violation du droit d'auteur par des tiers qui rendent accessibles une certaine limite). illégalement sur Internet des films protégés par ce droit; l'Access Provider n'a pas la qualité pour défendre à l'action en interdiction du titulaire du droit visant à bloquer l'accès aux pages Internet renfermant de tels contenus » On a une approche relativement prudente car les fournisseurs d’accès ont énormément de données et ce serait trop compliqué. NB : responsabilité plus étendue dans l’UE. Droit des marques Droit des marques C’est une forme de violation intangible p.ex. usage de la marque d’autrui dans un Violation si usage dans la hashtag ; usage comme mot de référence dans Google adword (on paie pour être tout en vie des affaires (VS haut des recherches), … privé) Une des questions est de se dire si on a un usage dans la vie des affaires. Une violation du droit des marques classique est une personne qui met la marque sur des vêtements pas originaux → dans le monde numérique il faut se demander, si j’utilise la marque d’autrui sur un post qui a rien n’à voir est-ce un contexte privé ou non ? Exemple du cyber-squatting Cyber-squatting : on a des personnes qui ont aucun droit sur les marques concernées mais qui enregistrent des noms de domaines qui correspondent à ces marques. Par ex Comment agir ? pour tromper les utilisateurs, diffuser des virus. C’est très facile, coûte peu cher. - Procédure judiciaire Comment agir ? : application du droit des marques national (1) Procédure judiciaire (annuler le nom de domaine), droit des marques national (étatique) (peut-être localisé à l’étranger) - Procédure modes (2) Procédure alternative (ADR) + droit autonome (UDRP) → mécanisme facilité et alternatifs de moins cher. résolution des conflits : application Uniform Domain Name Dispute Resolution Policy (UDRP) = Principes directeurs d’un droit autonome régissant le règlement uniforme des litiges relatifs aux noms de domaine. ex. UDRP adopté par → Une des institutions qui gère ces litiges est le centre d’arbitrage et de médiation de l’ICANN (en ligne, l’OMPI. rapide, moins cher) ex. centre Ce n’est pas du droit international. Ça a été adopté par l’ICANN, institution qui vise arbitrage/médiation de manière synthétique à gérer le système des noms de domaine sur le plan global. Il n’y OMPI a alors pas de légitimité étatique. Ces procédures sont appliquées à toute une catégorie de nom de domaines en particulier les generic top level domain names ex..com.org.biz. Il y a des procédures comparables qui ont été mises en œuvre pour les noms de domaines nationaux (.ch). Ces procédures sont applicables par le fait que si on enregistre un nom de domaine on doit accepter les CG liées à l’enregistrement du nom de domaine et dans ces CG on doit accepter de se soumettre à UDRP. 23 3 conditions cumulatives qui doivent être C’est très attractif car toute la procédure est en ligne, ce sont des experts qui démontrées par le tranchent et pas des juges. C’est une procédure très rapide et peu coûteuse. De plus, demandeur (fardeau de on applique des critères distincts et autonomes et non pas du droit national. la preuve) pour qualifier de cybersquatting : Critères pour qualifier de cybersquatting : - nom de domaine identique ou Conditions matérielles selon UDRP(cumulatives) : démontrées par le demandeur : similaire (à une Il faut que les 3 conditions soient remplies marque dans 1.nom de domaine identique à, ou d'une similitude pouvant prêter à laquelle le confusion avec une marque commerciale ou une marque de service dans plaignant a des laquelle le plaignant (victime) a des droits ; et droits) 2. aucun droit ou intérêt légitime du défendeur au regard du nom de - aucun domaine ; et droit/intérêt 3. nom de domaine enregistré et utilisé de mauvaise foi par le défendeur légitime d’avoir → conditions 2 et 3 sont plus difficiles à établir ce nom - nom enregistré et Conséquences : en fonction de ce que souhaite le demandeur → c’est soit l’annulation utilisé de soit le transfert du nom de domaine et pas de dommages-intérêts dans cette procédure mauvaise foi rapide. Conséquences : → pas de Cas pratique (fictif) UDRP dommages-intérêts, · Nom de domaine :www.maggi-life.com enregistré le 1er septembre 2024 peuvent seulement obtenir · Plaignant: Société Des Produits Nestlé S.A.,titulaire de la marque suisse « l’annulation/transfert MAGGI» (marque suisse No 3P 277837) / informations sur le produit à: du nom de domaine www.maggi.com · Défendeur/titulaire du nom de domaine: M. Roberto Maggi (Buenos Aires, Argentine) Conditions : 1. La marque est « Maggi » et le nom de domaine est « Maggi-life » : c’est suffisamment comparable car Life est descriptif et le terme identique est au début du nom de domaine. 2. On considère que le fait de vouloir refléter dans un nom de domaine, son propre nom, c’est un intérêt légitime (droit au nom). → On pourrait s’arrêter là comme les conditions sont cumulatives. 3. Il n’y avait pas un objectif de cybersquattage En conclusion, on n’est pas dans un cas de cybersquatting, veut pas profiter de la réputation. Ce sont des décisions rendues dans les 14 jours, le tout dure moins de deux mois contrôles) légale d’emploi salarié lorsque certains faits témoignant d’un pouvoir de directive et de contrôler l’activité sont constatés (mais en réalité peu contraignant) La présomption est réfragable. Les E membres doivent prévoir des contrôles et inspections des syst. meo par ces plateformes 4. Gestion 4. Gestion algorithmique algorithmique L’utilisation de ces plateformes numériques implique de facto des La directive européenne a également pour objectif de protéger les données à caractère systèmes de surveillance personnel dans le cadre du travail de plateforme. C’est un chapitre entier dédié à la GA, du personnel automatisé car l’utilisation de ces plateformes numériques implique de facto des systèmes de ou des systèmes de prise surveillance du personnel automatisé ou des systèmes de prise de décision de décision automatisée. automatisée. Art. 2 directive UE définit L’art. 2 de la directive UE définit les systèmes de prise de décision automatisée : ce les systèmes de prise de sont des systèmes utilisés pour prendre par voie électronique des décisions qui ont un décision automatisée qui impact significatif notamment sur les conditions de travail des travailleurs-euses mais auront un impact aussi sur leur recrutement, organisation des tâches, revenus, sécurité et santé au significatif sur : les travail, licenciement conditions de travail, le → ces règles protègent les employés d’être licenciés par un algorithme/système de 93 recrutement, organisation décision automatisé. Les plateformes numériques doivent assurer un contrôle humain des tâches, revenus, des décisions importantes qui affectent directement les personnes effectuant un sécurité et santé au travail de plateforme. En plus, selon la nouvelle directive, les travailleurs des travail, licenciement plateformes n’auront pas le droit de traiter certains types de données à caractère → la directive protège les personnel, notamment celles que la LPD définit comme des données à caractère employés : personnel sensibles : origine ethnique, santé, affiliation à un syndicat, sphère privée, opinions politiques. La directive prévoit un droit d’être informé du recours à des Obligation d’assurer un systèmes de surveillance ou à des systèmes de prise de décision automatisés pour des contrôle humain des travailleurs-euses. décisions importantes + pas le droit de traiter Il est intéressant de voir que ces règles sont adoptées dans la directive du travail de certains types de données plateforme, or la gestion algorithmique est beaucoup plus large que le travail de → données à caractère plateforme et est de plus en plus utilisée dans toutes les entreprises. Partant, la personnel sensible (selon directive ne va protéger qu’une catégorie de travailleur bien qu’une protection plus LPD) large serait nécessaire. + le droit d’être informé du recours à des systèmes → Voir Art. 21 LPD, 22 RGPD de surveillance ou de prise de décision Règlement UE 2024/1689 sur l’intelligence artificielle (IA) - Annexe III - Systèmes automatisés. d’IA à haut-risque → ce règlement définit certains systèmes d’IA comme étant à haut risque ce qui fait qu’ils sont soumis à des exigences particulières, notamment en Règles adoptées dans la termes d’information et de transparence. Parmis ces systèmes à HR, il y a les directive du travail de systèmes d’IA destinés à être utilisés pour le recrutement et les systèmes de plateforme, cependant décisions automatisés dans le domaine de l’emploi : systèmes de décision qui vont toutes les autres avoir des conséquences importantes sur les conditions de travail. Pour ces systèmes à catégories de travailleurs HR, on a des exigences particulières, notamment en lien avec la possibilité pour le touchés par la GA sont personnel concerné d’être informé et de pouvoir participer à la mise en place de tels oubliés. systèmes. Car il ne s’agit pas forcément d’interdire le recours à de tels systèmes mais il faut au moins que les personnes concernées puissent le savoir et peut être aussi être Règlement sur l’IA : consultées sur les modèles qui seront meo. systèmes d’IA à haut risque (not. de Projet algorithmwatch et motion parlementaires suisses : vont dans le sens d’un recrutement; décisions renforcement des droits de participation du personnel lors de la mise en place du automatisées dans le système de surveillance et de décisions automatisées. Il faut accompagner l’utilisation domaine de l’emploi) qui de ces nouvelles technologies, ce management automatisé avec un peu plus de ont des exigences démocratie dans l’entreprise. particulières : information, transparence Emploi, gestion de la main d’oeuvre et accès à l’emploi indépendant: + le personnel va pouvoir a) systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de être informé et participer personnes physiques, en particulier pour publier des offres d'emploi ciblées, analyser à la mise en place de tels et filtrer les candidatures et évaluer les candidats; systèmes. b) systèmes d'IA destinés à être utilisés pour prendre des décisions influant sur les conditions des relations professionnelles, la promotion ou le licenciement dans le 2 types d’IA : recrutement cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la et prise de décisions base du comportement individuel, de traits de personnalité ou de caractéristiques personnelles Nécessité de renforcer la participation du personnel lorsque des systèmes algorithmiques sont utilisés sur le lieu de travail 94 5. Surveillance numérique du personnel 5. Surveillance numérique du personnel Ce qui a été constaté en lien avec l’accroissement du recours au télétravail est aussi l’utilisation de plus en plus fréquente par tout type d’entreprises, de logiciels de surveillance numérique qui leur permettent de surveiller à distances leurs employés qui effectuent du TT. La plupart du temps ces logiciels sont des produits américains ex. work examiner : c’est un outil de surveillance en temps réel de l’activité des salariés. Ce qui est problématique est que ce logiciel peut fonctionner La plupart des logiciels avec ou sans que l’employé le sache. Il permet d’enregistrer des vidéos de l’écran qui sont américains ex. Work pourront ensuite être analysées. Ce logiciel informe l’employeur de tout manquement examiner : outil de aux obligations contractuelles dans le but de sanctionner et vérifier le bon surveillance en temps réel accomplissement du travail. Le but est légitime mais les moyens sont clairement (ex. enregistrement écran) disproportionnés et ne passeraient pas au niveau de la protection des données des employés qui peut suisse LPD et du droit du travail → précisés par le préposé fédéral à la protection des fonctionner sans que les données dans un de ses rapports. Ce genre de logiciel aurait apparemment pour employés soient avertis conséquence que certains employés se muniraient de logiciel pouvant faire p.ex. → en droit suisse but bouger artificiellement la souris comme moyen de « légitime défense ». légitime (= vérifier le bon Ce sont donc des pratiques qui existent et que les nouvelles règles tentent d’encadrer. accomplissement du travail) mais moyens LPD, art. 328b CO, 6 LTr, 26 OLT3 : en réalité il y a déjà toute une série de règles de disproportionnés droit privé et public qui encadrent la possibilité pour les employeurs de surveiller leur personnel par des simples vidéos ou outils numériques. Art 26 OLT3 : l’objectif → art. 26 OLT3: l’objectif doit être autre que la surveillance du comportement. doit être autre que la P.ex. la prévention des vols, un objectif de sécurité. La question de l’application de cette surveillance du disposition s’est posée dans deux ATF : comportement ex localisation GPS → Localisation GPS: admis dans l’ATF 130 II 425 : il s’agissait de savoir si objectif légitime et une entreprise chargée d’envoyer ses employés dans les différents domiciles proportionnalité respectée pour s’assurer de l’état des extincteurs d’incendies avait le droit d’installer VS logiciel espion qui un système GPS sur les véhicules de ses employés pour vérifier qu’ils viole le principe de la faisaient bien leur travail. La réponse a été OUI : car il y avait vraiment un proportionnalité donc objectif légitime : la vérification du bon accomplissement du travail ; un illicite intérêt public important ; le système de géolocalisation n’était pas installé sur les personnes elles-mêmes mais sur la voiture ; ce n’était pas une surveillance en temps réel mais en temps différé, après coup on pouvait vérifier si les personnes s’étaient vraiment rendues dans les maisons ou pas. Pour toutes ces raisons : l’objectif était légitime et le principe de la proportionnalité respecté. Logiciel espion (spyware): non admis dans l’ATF 139 II 7 : dans cet arrêt il s’agissait d’un logiciel espion installé sur l’ordinateur d’un employé à son insu et

Résumé Droit Numérique BV PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue