RLDI 2007/23, n°716
Thierry MAILLARD
Première publication: janvier 2007.
Article reproduit avec l'aimable autorisation des Editions Lamy.
Le décret n°2006-1763 du 23 décembre 2006 relatif à la répression pénale de certaines atteintes portées au droit d'auteur et aux droits voisins vient de paraître (J.O n° 302 du 30 décembre 2006 page 20161). Le texte complète le dispositif répressif établi par la loi du 1er août 2006 en matière d'atteintes aux mesures techniques de protection et d'information.
Le ministre de la culture et de la communication l'avait annoncé lors des débats parlementaires sur la loi relative au droit d'auteur et aux droits voisins dans la société de l'information [1]. Le décret n°2006-1763 du 23 décembre 2006 relatif à la répression pénale de certaines atteintes portées au droit d'auteur et aux droits voisins vient de paraître. Le texte parachève le « système de réponse pénale graduée » [2] en incriminant aux articles R. 335-3 et 4 du code de la propriété intellectuelle les atteintes aux mesures techniques accomplies au moyen d'une application technologique, d'un dispositif, d'un composant ou d'un service fourni par un tiers.
Le code de la propriété intellectuelle distingue désormais trois niveaux de responsabilité pénale, en principe fonction de la gravité des actes commis (I). Deux causes d'exonération de responsabilité doivent assurer l'équilibre du dispositif (II).
I. - LES TROIS NIVEAUX DE RESPONSABILITÉ PÉNALE
Le projet de loi du 12 novembre 2003 assimilait l'ensemble des atteintes portées aux mesures techniques à des actes de contrefaçon. Les sanctions prévues - trois ans d'emprisonnement et 300.000 euros d'amende - étaient sévères, mais il n'était après tout pas illogique de punir pareillement la contrefaçon et les atteintes portées à des dispositifs techniques dont la vocation est de prévenir la contrefaçon.
Entre le dépôt du texte sur le bureau de l'Assemblée nationale et son inscription à l'ordre du jour, l'interopérabilité des mesures techniques est devenue une question de premier plan [3]. L'idée que le contournement des mesures techniques était en certaines circonstances excusable, voire légitime, a progressivement gagné les esprits, jusqu'à pénétrer les plus hautes sphères [4]. L'adoption inattendue du premier volet de la licence globale, au début des travaux parlementaires, a précipité les choses et conduit le gouvernement à remanier en profondeur son projet, dans un sens nettement plus favorable aux utilisateurs [5]. La marge de manœuvre offerte par la directive de 2001 quant à la définition des actes prohibés était étroite, mais le texte laissant aux États membres le soin de déterminer la « protection juridique appropriée » [6] et les sanctions adéquates [7], le gouvernement a pu proposer et faire adopter un dispositif refondu « distinguant clairement trois niveaux de responsabilité pénale en fonction de la gravité des actes commis » [8].
Trois types d'atteintes forment ainsi l'armature du système de réponse pénale graduée : les atteintes indirectes, les atteintes directes autonomes et, désormais, les atteintes directes assistées.
A. - Les atteintes indirectes
Les atteintes indirectes sont les plus lourdement sanctionnées (six mois d'emprisonnement et 30.000 euros d'amende). Deux types d'actes sont concernés :
1° les actes préparatoires, par lesquels les moyens (produits ou services) permettant de porter atteinte à une mesure technique de protection ou d'information [9] sont rendus accessibles aux utilisateurs [10] ;
2° les actes d'exploitation subséquents à la suppression ou à la modification d'un élément d'information sur le régime des droits [11].
La seconde catégorie se trouve en vérité nettement en marge du système de réponse graduée qui, à l'évidence, n'a été pensé qu'en considération des mesures techniques de protection [12]. Son incrimination au même niveau répressif que les activités préparatoires paraît assez arbitraire. Les deux types d'atteintes n'ont à vrai dire en commun que de ne pas affecter directement la mesure technique. Peut-être cela a-t-il suffi à justifier leur association.
B. - Les atteintes directes autonomes
Le second niveau de répression concerne « le "hacker" qui, par un acte individuel et isolé, décrypte la mesure technique de protection de l'oeuvre ou porte atteinte par lui-même aux mesures de protection ». Les articles L. 335-3-1-I et L. 335-4-1 du code de la propriété intellectuelle punissent l'atteinte portée intentionnellement à une mesure technique de protection efficace « par d'autres moyens que l'utilisation d'une application technologique, d'un dispositif ou d'un composant existant » [13]. Un dispositif équivalent est prévu aux articles L. 335-3-2-I et L. 335-4-2-I pour la suppression ou la modification d'un élément d'information sur le régime des droits effectuée dans le but de porter atteinte à un droit exclusif. Les faits sont, dans un cas comme dans l'autre, punis d'une amende délictuelle de 3.750 euros.
Cette discrimination entre les atteintes directes fondée sur la nature des moyens employés est discutable. Le critère retenu n'est peut-être pas le plus pertinent pour rendre compte de la gravité des actes commis. Il n'est pas clair par exemple que la personne qui, pour neutraliser une mesure technique, modifie le contenu d'un fichier en suivant les instructions données par un ami soit plus blâmable que celle qui exécute un logiciel procédant automatiquement à la même modification. Peut-être, toutefois, l'incrimination spécifique des atteintes directes autonomes peut-elle se justifier en ce qu'elle permet d'appréhender l'élaboration des outils de contournement à un stade précoce, avant qu'ils ne soient procurés ou proposés à autrui et ne puissent de ce fait être sanctionnés sur le fondement de l'interdiction des activités préparatoires.
C. - Les atteintes directes assistées
Introduits par le décret, les articles R. 335-3 et R. 335-4 punissent de l'amende prévue pour les contraventions de la quatrième classe (soit 750 euros au plus [14]) le fait :
1° de détenir en vue d'un usage personnel [15] ou d'utiliser une application technologique, un dispositif ou un composant conçus ou spécialement adaptés pour porter atteinte à une mesure technique de protection ou d'information ;
2° de recourir à un service conçu ou spécialement adapté pour porter atteinte à une mesure technique de protection ou d'information.
L'infraction s'inscrit dans le sillage de l'interdiction des activités préparatoires. L'appréhension de ces dernières, en amont, justifie une répression plus clémente en aval, la priorité étant de tarir l'offre de moyens de neutralisation. Le raisonnement est à cet égard le même que celui qui sous-tendait le dispositif répressif prévu par le gouvernement pour s'attaquer aux échanges illicites de fichiers de pair à pair [16], partiellement censuré par le Conseil constitutionnel [17].
Le texte d'incrimination applicable aux atteintes directes dépendra de la qualification du moyen utilisé. S'il apparaît qu'il a été conçu ou spécialement adapté en vue de porter atteinte à une mesure technique, autrement dit si sa fourniture est répréhensible au titre de la prohibition des activités préparatoires, alors les faits ne seront punis que d'une peine contraventionnelle. Dans le cas contraire, l'amende pourra atteindre 3.750 euros. Singulièrement, la personne poursuivie pour avoir contourné de manière indépendante un dispositif de protection aura intérêt à démontrer que les outils employés sont des moyens illicites, spécialement conçus ou adaptés pour porter atteinte à une mesure technique…
Le basculement des atteintes assistées dans le domaine contraventionnel était certainement propice à l'apaisement des esprits, échauffés par le déroulement chaotique des débats parlementaires. Mais il n'est pas clair que la discrimination opérée entre les atteintes directes offre une réponse pénale « juste et équilibrée » [18]. Elle est d'autant plus contestable que l'avant-dernier alinéa de l'article L. 331-5 exclut du bénéfice de la protection les mesures techniques qui entravent le « libre usage de l'œuvre », ce qui semble indiquer que le contournement en vue de « lire les œuvres achetées sur l'ensemble des formats et appareils ordinairement utilisés à cet effet » [19] n'est pas punissable [20]. Ne subsistent donc dans le champ d'application des articles R. 335-3 et 4 que les atteintes visant clairement à accomplir un acte non autorisé par les titulaires de droit. On peine à considérer qu'elles soient beaucoup plus justifiables que les atteintes autonomes.
II. - LES CAUSES D'EXONÉRATION DE RESPONSABILITÉ PÉNALE
Le texte adopté par le Parlement le 30 juin 2006 prévoyait trois causes d'exonération de responsabilité pénale. L'excuse d'interopérabilité ayant été censurée par le Conseil constitutionnel [21], ne restent aujourd'hui que les cas d'exonération établis en matière de sécurité informatique et de recherche. Il s'agit dans un cas de permettre aux utilisateurs de s'assurer que la mesure technique ne met pas en péril la sécurité de leur système, dans l'autre d'autoriser les chercheurs à étudier et éprouver le fonctionnement des dispositifs de protection.
Les deux causes d'exonération prévues par la loi du 1er août 2006 sont reprises dans le décret du 23 décembre 2006. Le gouvernement a pris acte des réserves d'interprétation formulées par le Conseil constitutionnel : les articles R. 335-3 et 4 n'excluent du champ de la répression que les « actes qui ne portent pas préjudice aux titulaires de droits et qui sont réalisés à des fins de sécurité informatique ou à des fins de recherche scientifique en cryptographie ». La reformulation n'est peut-être pas très heureuse, puisqu'elle rompt l'unité formelle des dispositions légales et réglementaires. Elle ne contribue pas en tout cas à la lisibilité de l'ensemble.
A. - Les actes accomplis à des fins de recherche
La loi fait référence à la « recherche », sans autre précision. Le Conseil constitutionnel a estimé, avec raison, qu'il convenait de spécifier le champ de l'exonération, pour éviter que celle-ci s'applique indistinctement à toute activité de recherche, quels qu'en soient la nature et le domaine. Mais il l'a étroitement cantonné à « la recherche scientifique en cryptographie », alors que d'autres procédés de protection ou d'information - le tatouage par exemple [22] - doivent également pouvoir faire l'objet d'expérimentations et de discussions au sein de la communauté scientifique [23]. C'est regrettable. L'exigence, par ailleurs posée par le Conseil, que l'atteinte accomplie à des fins de recherche « ne tende pas à porter préjudice aux titulaires des droits » [24] est elle plus opportune. Reste à savoir ce qui doit déterminer l'appréciation du préjudice. Les articles L. 335-3-1 et suivants du code enfermant déjà l'exonération de responsabilité « dans les limites des droits prévus par le présent code » [25], il semble que d'autres éléments, exogènes, puissent être pris en considération.
S'il est clair que l'exception prévue en matière de recherche s'applique aux atteintes directes autonomes [26], les choses sont plus confuses en ce qui concerne les deux autres niveaux de responsabilité. Les articles L. 335-3-1 et suivants du code admettent, s'agissant des activités préparatoires, que la personne qui procure ou propose à autrui un moyen de contournement qu'elle a fabriqué ou importé puisse échapper à la sanction, dès lors qu'elle agit à des fins de recherche. La transmission entre chercheurs d'outils de neutralisation [27] est concernée au premier chef [28]. À suivre la lettre des articles L. 335-3-2-IV et L. 335-4-2-IV, l'exonération de responsabilité devrait aussi s'étendre, en matière d'information sur le régime des droits, aux autres types d'atteintes indirectes. Mais l'on ne doit selon toute vraisemblance cette spécificité qu'à la légèreté des députés [29] ; il convient de ce fait de la considérer avec la plus grande circonspection. Les articles R. 335-3 et 4 ne concernant quant à eux que les atteintes accomplies par des moyens fournis par des tiers, l'exonération de responsabilité ne jouera logiquement que dans l'hypothèse où l'agent est parvenu à se procurer l'un de ces moyens. Faut-il dès lors que cette fourniture soit elle-même licite, autrement dit que l'exemption s'applique à la fois au pourvoyeur et à l'utilisateur du moyen ? Si tel est le cas, le recours à un prestataire de service pour porter atteinte à une mesure technique ne devrait pouvoir être exempté en aucune hypothèse.
B. - Les actes accomplis à des fins de sécurité informatique
Les actes accomplis à des fins de sécurité informatique sont hors du champ de la prohibition, quelle que soit la nature de l'atteinte [30]. En conséquence, il semble possible de proposer « à des fins de sécurité informatique » tout type d'outil ou de service de contournement. Les fins de l'atteinte ne se révélant que postérieurement à la fourniture du moyen, c'est l'efficacité même du dispositif répressif qui paraît menacée. Les quatre articles introduits par la loi du 1er août 2006 exigent cependant que les actes accomplis à des fins sécurité informatique s'inscrivent « dans les limites des droits prévus par le (…) code ». Or le code de la propriété intellectuelle ne prévoit aucune exception aux droits des auteurs de logiciels en matière de sécurité informatique. Le contournement d'une mesure technique logicielle est donc exclu, sauf à être autorisé par le titulaire de droits. Cela réduit sensiblement la portée de l'exemption.
Le système de réponse pénale graduée, en dépit de sa complexité, apparaît finalement assez peu abouti. Il existe bien une gradation des peines, mais la construction ne renvoie pas l'image d'un ensemble cohérent, d'un « système ». Quoi qu'il en soit, le dispositif est là. La perspective de sa mise en œuvre n'est en tout cas pas des plus réjouissantes…
[1] Voir JOAN CR, 15 mars 2006, pp. 1927-1928. Voir également l'exposé des motifs de l'amendement n°261, déposé par le Gouvernement lors de la discussion du texte à l'Assemblée nationale.
[2] Selon les termes employés par le ministre. Pour une analyse détaillée du dispositif répressif, voir A. et H.-J. Lucas, Traité de la propriété littéraire et artistique, Litec, 3e éd., 2006, n. 878 et s. ; A. Latreille et T. Maillard, Le cadre légal des mesures techniques de protection et d'information, D. 2006, p. 2171.
[3] Voir C. Bernault, La loi du 1er août 2006 et l'interopérabilité : éléments pour décoder, RLDI 2006/19, n°589.
[4] Voir notamment Cons. conc., déc. n°04-D-54, 9 nov. 2004, n. 97, p. 17, concluant que « le caractère indispensable de l'accès au DRM d'Apple n'apparaît pas prouvé » compte tenu du fait, notamment, de « l'existence d'une possibilité simple, peu coûteuse et très courante de contournement de l'incompatibilité des DRM : la gravure sur CD ».
[5] Il y a, comme l'écrit le Professeur Sirinelli, « un avant et un après 21 décembre » : « Presque toute l'économie de la loi adoptée le 30 juin peut s'expliquer par le souci de tenir un discours différent, plus favorable aux utilisateurs d'œuvres. De la multiplication d'exceptions à l'adoucissement de sanctions tant en cas de P2P que dans l'hypothèse de contournement de dispositifs techniques en passant par le droit à l'interopérabilité. » (A. Lucas et P. Sirinelli, La loi n° 2006-961 du 1er août 2006..., Propr. intell. n°20, chron., p. 333).
[6] Dir. 2001/29/CE, art. 6, parag. 1 et 2 ; art 7, parag. 1.
[7] Dir. 2001/29/CE, art. 8. Les sanctions doivent en tout état de cause rester efficaces, proportionnées et dissuasives.
[8] L'absence d'interdiction des actes de contournement assistés aurait certainement été contraire à l'article 6.1 de la directive, puisque celui-ci ne distingue pas entre les actes de contournement. Mais le principe de gradation des peines ne l'est pas.
[9] La loi française va plus loin que l'article 7 de la directive qui ne prohibe pas les activités préparatoires.
[10] Art. L. 335-3-1-II et L. 335-4-1-II.
[11] Art. L. 335-3-2-III et L. 335-4-2-III.
[12] Voir la présentation du dispositif faite par le ministre (JOAN CR, 15 mars 2006, p. 1928).
[13] JOAN CR, 15 mars 2006, p. 1928.
[14] Montant de l'amende prévu par l'article L. 131-13 du Code pénal.
[15] Le texte est plus complet que celui de la directive, qui n'interdit que le contournement. Le considérant 49 ménage toutefois la possibilité de sanctionner également la détention à des fins privées.
[16] Voir A. Lucas et P. Sirinelli, op. cit., p. 332 et s..
[17] Voir notamment L. Thoumyre, Les faces cachées de la décision du Conseil constitutionnel sur la loi « DADVSI », RLDI 2006/20, n°591, p. 16.
[18] Selon l'appréciation du ministre de la culture et de la communication.
[19] Exposé des motifs de l'amendement n°233, troisième rectification.
[20] Le texte n'est cependant pas clair. Voir sur ce point A. Latreille et T. Maillard, op. cit., p. 2182.
[21] Voir le très complet commentaire en deux parties de J.-E. Schoettl, La propriété intellectuelle est-elle constitutionnellement soluble dans l'univers numérique ?, Petites Affiches n° 161, p. 5 et n° 162-163, p. 3.
[22] Le tatouage (ou watermarking) est un procédé consistant à insérer des informations dans un contenu, de façon imperceptible. Il est utilisé à des fins d'information et de protection.
[23] Le considérant 48 de la directive de 2001 précise, il est vrai, que la protection juridique des mesures techniques « ne doit notamment pas faire obstacle à la recherche sur la cryptographie ». Le texte est cependant nettement moins catégorique (« notamment ») que la décision du Conseil constitutionnel.
[24] L'article 296ZA(2) du Copyright, Designs and Patents Act de 1988 prévoit une condition similaire : « This section does not apply where a person, for the purposes of research into cryptography, does anything which circumvents effective technological measures unless in so doing, or in issuing information derived from that research, he affects prejudicially the rights of the copyright owner. »
[25] La condition n'est pas reprise dans la partie réglementaire. Mais les causes d'exonération de responsabilité ne concernant que les atteintes portées aux mesures techniques, elles ne sauraient logiquement affecter les droits de propriété intellectuelle portant sur les contenus ou sur la mesure technique elle-même, considérée en tant qu'œuvre logicielle ou invention brevetée.
[26] Les articles L. 335-3-1-I et L. 335-4-1-I pour les mesures techniques de protection, les articles L. 335-3-2-I, L. 335-4-2-I pour les mesures techniques d'information.
[27] Rappr. 17 U.S.C. §1201(g)(4)(B) : « Notwithstanding the provisions of subsection (a)(2), it is not a violation of that subsection for a person to (…) provide the technological means to another person with whom he or she is working collaboratively for the purpose of conducting the acts of good faith encryption research described in paragraph (2) or for the purpose of having that other person verify his or her acts of good faith encryption research described in paragraph (2). »
[28] Il n'est pas précisé expressis verbis que le pourvoyeur du moyen doive lui-même être un chercheur. Il est possible que l'offre par des sociétés spécialisées d'outils de contournement à destination des chercheurs rentre dans les prévisions du texte.
[29] Le texte proposé par le gouvernement (amendement n°261) intégrait l'exemption de recherche dans le corps de chacun des textes d'incrimination (paragraphes I et II des quatre articles). Plusieurs sous-amendements ont été déposés en vue d'ajouter dans un dernier paragraphe deux exonérations de responsabilité supplémentaires (sécurité informatique et interopérabilité), applicables à l'ensemble des infractions. Au moment de présenter le sous-amendement n°316 rectifié, M. Carayon, croyant avoir oublié de citer la recherche (en réalité déjà visée aux deux premiers paragraphes), a « corrigé » son amendement, voté sous cette forme par les députés présents (JOAN CR 15 mars 2006, 2e séance, p. 1937).
[30] Art. L. 335-3-1-III, L. 335-3-2-IV, L. 335-4-1-III, L. 335-4-2-IV, R. 335-3, al. 4, R. 335-4, al. 4.