Assises du livre numérique DRM et moyens techniques de protection
Transcription
Assises du livre numérique DRM et moyens techniques de protection
Assises du livre numérique Les tables rondes des Assises 8 novembre 2012 – 9h30-18h00 Institut océanographique DRM et moyens techniques de protection : quels enjeux ? Bill Rosenblatt, Giantsteps (en traduction consécutive) Jean Martin, avocat à la Cour Enjeux techniques de la protection des données (par Bill Rosenblatt) Le DRM : fonctionnement et aspects économiques Le cryptage numérique utilisé pour protéger le contenu des disquettes dans les années 1960 puis celui des CD-Rom dans les années 1980 reposait sur des techniques mathématiques. Il a été remplacé par le DRM (digital rights management, ou gestion numérique des droits) dans les années 1990, avec l’essor des vidéos numériques, du multimédia et des réseaux. Ce terme a d’ailleurs été employé pour la première fois en avril 1993, dans le cadre de la conférence « Technical Strategies for Protecting Intellectual Property in the Networked Environment ». Aucune avancée technologique notable n’a été enregistrée depuis cette date. Le DRM recourt à des technologies de cryptage visant à protéger tout contenu numérique d’une utilisation non autorisée. Il intervient à l’articulation de trois composants : le serveur de contenu (référentiel crypté), le serveur de licence et le terminal de l’utilisateur. Lorsque ce dernier reçoit un contenu chiffré, il doit demander une licence de décryptage. Si cette demande est jugée légitime, il reçoit une clé d’accès que le contrôleur DRM déchiffre afin de rendre le contenu lisible. Plusieurs technologies existent. La plus répandue est Adobe Content Server. Amazon, pour sa part, a acquis en 2005 une technologie française, MobiPocket. Apple utilise lui aussi son propre DRM, Fairplay, qu’il a adapté de son système de cryptage musical. Quant à Microsoft, il utilise PlayReady pour ses e-books. Enfin, pour citer cet autre exemple, la technologie FileOpen est la plus utilisée dans le secteur de la publication scientifique et la recherche aux Etats-Unis. Si les éditeurs exigent des DRM, ce sont rarement eux qui en financent la conception ou le développement1. Ce financement est ainsi assuré par les revendeurs et les fabricants de terminaux. Cela explique que très peu de technologies DRM, au titre desquelles FileOpen, soient fournies par des entreprises indépendantes. Cela explique aussi le manque de recherche et développement dans ce domaine et la faible évolution technologique constatée depuis deux décennies. Par ailleurs, certaines sociétés, comme Amazon, utilisent leur DRM pour verrouiller l’accès à leur plateforme, faisant ainsi obstacle à l’interopérabilité. Adobe Content Server est aujourd’hui le seul DRM interopérable. Une récente recherche menée par GiantSteps, intitulée « indexation de la technologie sur les droits d’auteurs », visait à mesurer la production de recherche en technologie DRM, pays par pays. Elle montre que les pays qui produisent plus de terminaux que de contenus présentent 1 Dans le cas où les e‐books sont revendus par des opérateurs puisque ce sont ces derniers qui apposent leur DRM. En revanche, les éditeurs paient pour utiliser les DRM comme l’ACS4 d’Adobe. Syndicat national de l’édition Assises du livre numérique – 8 novembre 2012 1 des ratios élevés de recherche et développement (R & D), tandis que ceux qui ont les ratios les plus bas sont ceux qui produisent le plus de contenus (Japon, Etats-Unis, Union européenne). Il est ici utile de préciser que l’unité de mesure utilisée (dépenses brutes en R & D) a été définie par l’OCDE et ne dépend pas de la taille ou de la richesse du pays concerné. Le DRM face à l’émergence du cloud Le schéma classique du livre numérique est le suivant : un serveur télécharge dans son intégralité du contenu vers un terminal de lecture qui n’est pas nécessairement connecté à Internet. Dans le modèle de la lecture en cloud, le serveur de contenus est connecté en permanence au terminal via Internet et le contenu est téléchargé progressivement. Il existe deux façons de protéger les contenus lus en cloud : - envoyer le contenu en langage XML, avec une protection écran par écran, ou chapitre par chapitre ; - envoyer des images de fichiers jpeg (DRM par capture d’écran). Les éventuels pirates doivent alors récupérer chaque image, les faire passer par un système de reconnaissance des caractères (OCR) puis les assembler afin d’obtenir le contenu intégral. Le DRM pour les contenus autres que les publications Depuis 2007, le téléchargement permanent de musique est dénué de DRM. Il en est aujourd’hui de même pour les téléchargements sur appareils mobiles. Et pour cause, toutes les tentatives de protection des fichiers sur CD ont échoué. Les systèmes comme Spotify ou Deezer utilisent le cryptage par streaming, qui permet un mode d’écoute hors ligne (la musique étant enregistrée sur l’appareil d’écoute). Concernant la vidéo (DVD, Blue Ray, streaming), tous les systèmes utilisent un DRM. C’est d’ailleurs dans ce domaine que la technologie DRM est à la fois la plus intensément utilisée et la plus évoluée. Enfin, la situation est très variée pour ce qui est des jeux vidéo, allant d’une protection très renforcée à aucune protection (ce dernier cas étant souvent un argument de vente pour les joueurs !). Contrairement aux préoccupations qui ont cours dans le secteur de l’édition, l’enjeu pour les créateurs des jeux consiste à générer un maximum de revenus durant les premières semaines qui suivent le lancement d’un jeu. L’investigation numérique légale : Watermarking et Fingerprinting Deux nouvelles technologies, regroupées sous l’appellation forensic content protection technologies (investigation numérique légale pour la protection des droits d’auteur), méritent d’être mentionnées : le watermarking (tatouage numérique2) et le fingerprinting (empreinte numérique). Elles n’empêchent pas l’utilisation non autorisée de contenus, mais permettent de rechercher sur Internet d’éventuelles copies en vue de fournir la preuve qu’un contenu a fait l’objet d’une utilisation non autorisée. Ces technologies sont notamment utilisées par Pottermore ou O’Reilly pour le watermarking et par YouTube ou les agences de presse en ligne pour le fingerpriting. 2 Qui intègre des informations personnelles de l’acquéreur. Syndicat national de l’édition Assises du livre numérique – 8 novembre 2012 2 Le projet IDPF EPUB LCP L’IDPF (International Digital Publishing Forum) adhèrent des grands noms de l’Internet, des fabricants de matériel, des éditeurs, des libraires et des associations professionnelles, a pour objectif de promouvoir des standards DRM a développé en 2011 la troisième version du standard EPUB, basée sur les standards du web HTML 5 et CSS 3. L’idée principale est de favoriser l’utilisation d’un DRM standard par les fabricants, en compensant le fort niveau de sécurité par une simplicité d’utilisation et des coûts de maintenance restreints. Un appel à propositions a été publié en juillet. Six propositions ont été rendues en septembre : par FileOpen, deux start-up, Kobo, Marlin Developer Community, et Sony DADC. Leur évaluation est en cours et sera présentée au conseil d’administration de l’IDPF à la fin du mois. Le DRM n’a jamais été conçu comme une protection inattaquable et durable. Il serait d’ailleurs intéressant de pouvoir mesurer l’impact financier du DRM, pour mieux identifier la façon dont il limite les utilisations non autorisées. Mais une telle étude serait très complexe à mettre en œuvre. Ce n’est pas non plus une solution intégrale, mais un outil parmi d’autres. Enfin, du point de vue du droit, le DRM relève moins du domaine de la protection que de la gestion. C’est une notion ambivalente, à la fois de gestion des droits (au sens de contrôle de l’usage des informations protégées que sont les contenus numériques) et d’information sur ces droits. Les enjeux juridiques de la protection (Maître Jean Martin) La technique au secours du droit : les MTP La société a fait le choix de concilier à la fois la protection de la propriété intellectuelle, l’accès à la culture et une forme de liberté de la vie privée des utilisateurs concernés. Les MTP (mesures techniques de protection) ont toujours existé. Pour autant, elles ne suffisent pas à elles seules. En effet, si le droit court après la technique, la technique court elle-même après la technique – et le droit finit par venir à son secours à son tour. Ce cercle, qui peut en agacer certains, se veut très vertueux. En effet, les MTP pouvant être contournées par d’autres techniques, une « couche » de droit s’avère indispensable pour protéger la technique qui vient protéger le droit ! C’est la raison pour laquelle les MTP ont un statut légal. Elles sont inscrites dans le droit européen et national. La finalité poursuivie par le législateur est la maîtrise de l’utilisation des œuvres protégées et reconnues comme telles. Par ailleurs, s’il a refusé de décrire précisément le dispositif technique, au risque de le figer, il emploie toutefois les termes de « cryptage », de « brouillage » ou encore de « mécanisme de contrôle ». Enfin, il prévoit que pour être éligibles à une protection juridique, les mesures techniques doivent être efficaces et remplir une finalité d’intérêt général. Si une MTP peut être contournée ou cassée de manière involontaire, c’est qu’elle n’a pas une efficacité suffisante. En l’occurrence, l’acte interdit est non seulement celui qui altère le bon fonctionnement de la protection et l’atteinte de sa finalité, mais aussi celui qui fournit les moyens de le faire. Les peines encourues sont plus élevées lorsqu’est démontrée la volonté ferme de détourner ou casser une MTP. Outre les conditions contenues dans la définition légale, la MTP doit assurer un équilibre entre l’intérêt général et les intérêts privés, en remplissant des conditions dans les relations avec les auteurs (les informer sur les objectifs poursuivis par ce mode d’exploitation et sur Syndicat national de l’édition Assises du livre numérique – 8 novembre 2012 3 les conditions d’accès aux caractéristiques essentielles de la MTP) d’une part et dans les relations avec les consommateurs d’autre part (les informer des éventuelles restrictions d’usage, ne pas faire obstacle aux exceptions existantes, comme l’exception pour copie privée, et ne pas empêcher l’interopérabilité). L’autorité de régulation compétente en France, l’Hadopi, peut être saisie en cas de conflit ou d’absence de conciliation entre l’intérêt général et les intérêts privés dans la pratique. Elle peut être de bon conseil pour rapprocher les parties, mais aussi faire injonction de procéder à certains aménagements. La responsabilité des hébergeurs : « un port franc » La loi considère que certains prestataires techniques ne peuvent être responsables des contenus qu’ils hébergent, à condition qu’ils se contentent d’un rôle technique. Ainsi, l’imprimeur n’est pas responsable du contenu qu’il imprime. De la même façon, la loi protège la non responsabilité des hébergeurs, intermédiaires techniques chargés de stocker des informations fournies par des tiers en vue d’une mise à disposition du public, à la condition qu’ils n’élargissent pas leur champ d’intervention à la gestion des contenus (classement, insertion de publicités, etc.). Plus exactement, les hébergeurs répondent au régime de la responsabilité allégée : ils doivent retirer un contenu dès qu’ils ont connaissance qu’il est illicite. Cela étant, dans une décision de la Cour de cassation du mois de juillet 2012, le juge semble admettre que toute personne susceptible de contribuer à la prévention d’un délit de contrefaçon, à la violation du droit de propriété intellectuelle ou à sa cessation doit le faire sur décision de justice. Il s’agit là de l’évolution d’une responsabilité très limitée voire d’une non responsabilité des hébergeurs vers une obligation d’intervention ponctuelle pour favoriser la protection de la propriété intellectuelle. Au-delà du droit exclusif ? Le cloud n’est pas une terra incognita La jurisprudence française considère que la copie privée n’est autorisée qu’en l’absence d’intervention d’un intermédiaire. Pour le dire autrement, l’intermédiaire ne peut pas bénéficier de l’exception de copie privée. Or, pour offrir certains services spécifiques, le cloud – réseau virtuel privé – passe par un serveur extérieur. C’est notamment le cas pour la synchronisation du casier personnel entre différents terminaux personnels, qui pourrait être considérée comme une copie privée. La question sur l’origine de la copie n’a pas encore trouvé de réponse. Quel est, dès lors, le droit qui s’applique : le droit exclusif ou l’exception pour copie privée ? Plusieurs questions restent encore posées. Les acteurs du cloud computing peuvent-ils bénéficier du statut d’hébergeur ? Le cloud computing doit-il être soumis à la rémunération pour copie privée ? Pour y répondre, il convient de se garder de toute qualification globale, tant la diversité des services concernés est grande. Certains prestataires de services, ou certaines fonctions, peuvent s’apparenter à des hébergeurs. C’est le cas des prestataires qui fournissent un casier personnel, par exemple. Pour eux, un hébergeur n’étant pas responsable, le droit exclusif ne peut pas s’appliquer. De la même façon, le régime de l’exception pour copie privée ne s’applique dans le cloud qu’à certaines fonctionnalités seulement. Pour éviter le vide juridique, le régime du fair use semble particulièrement pertinent. Mais il n’existe pas en France ! Syndicat national de l’édition Assises du livre numérique – 8 novembre 2012 4