Assises du livre numérique DRM et moyens techniques de protection

 Assises du livre numérique
Les tables rondes des Assises
8 novembre 2012 – 9h30-18h00
Institut océanographique
DRM et moyens techniques de protection : quels enjeux ?

Bill Rosenblatt, Giantsteps (en traduction consécutive)

Jean Martin, avocat à la Cour
Enjeux techniques de la protection des données (par Bill Rosenblatt)
Le DRM : fonctionnement et aspects économiques
Le cryptage numérique utilisé pour protéger le contenu des disquettes dans les années 1960
puis celui des CD-Rom dans les années 1980 reposait sur des techniques mathématiques. Il
a été remplacé par le DRM (digital rights management, ou gestion numérique des droits)
dans les années 1990, avec l’essor des vidéos numériques, du multimédia et des réseaux. Ce
terme a d’ailleurs été employé pour la première fois en avril 1993, dans le cadre de la
conférence « Technical Strategies for Protecting Intellectual Property in the Networked
Environment ». Aucune avancée technologique notable n’a été enregistrée depuis cette date.
Le DRM recourt à des technologies de cryptage visant à protéger tout contenu numérique
d’une utilisation non autorisée. Il intervient à l’articulation de trois composants : le serveur
de contenu (référentiel crypté), le serveur de licence et le terminal de l’utilisateur. Lorsque
ce dernier reçoit un contenu chiffré, il doit demander une licence de décryptage. Si cette
demande est jugée légitime, il reçoit une clé d’accès que le contrôleur DRM déchiffre afin de
rendre le contenu lisible.
Plusieurs technologies existent. La plus répandue est Adobe Content Server. Amazon, pour
sa part, a acquis en 2005 une technologie française, MobiPocket. Apple utilise lui aussi son
propre DRM, Fairplay, qu’il a adapté de son système de cryptage musical. Quant à Microsoft,
il utilise PlayReady pour ses e-books. Enfin, pour citer cet autre exemple, la technologie
FileOpen est la plus utilisée dans le secteur de la publication scientifique et la recherche aux
Etats-Unis.
Si les éditeurs exigent des DRM, ce sont rarement eux qui en financent la conception ou le
développement1. Ce financement est ainsi assuré par les revendeurs et les fabricants de
terminaux. Cela explique que très peu de technologies DRM, au titre desquelles FileOpen,
soient fournies par des entreprises indépendantes. Cela explique aussi le manque de
recherche et développement dans ce domaine et la faible évolution technologique constatée
depuis deux décennies. Par ailleurs, certaines sociétés, comme Amazon, utilisent leur DRM
pour verrouiller l’accès à leur plateforme, faisant ainsi obstacle à l’interopérabilité. Adobe
Content Server est aujourd’hui le seul DRM interopérable.
Une récente recherche menée par GiantSteps, intitulée « indexation de la technologie sur les
droits d’auteurs », visait à mesurer la production de recherche en technologie DRM, pays par
pays. Elle montre que les pays qui produisent plus de terminaux que de contenus présentent
1
Dans le cas où les e‐books sont revendus par des opérateurs puisque ce sont ces derniers qui apposent leur DRM. En revanche, les éditeurs paient pour utiliser les DRM comme l’ACS4 d’Adobe. Syndicat national de l’édition
Assises du livre numérique – 8 novembre 2012
1
des ratios élevés de recherche et développement (R & D), tandis que ceux qui ont les ratios
les plus bas sont ceux qui produisent le plus de contenus (Japon, Etats-Unis, Union
européenne). Il est ici utile de préciser que l’unité de mesure utilisée (dépenses brutes en
R & D) a été définie par l’OCDE et ne dépend pas de la taille ou de la richesse du pays
concerné.
Le DRM face à l’émergence du cloud
Le schéma classique du livre numérique est le suivant : un serveur télécharge dans son
intégralité du contenu vers un terminal de lecture qui n’est pas nécessairement connecté à
Internet. Dans le modèle de la lecture en cloud, le serveur de contenus est connecté en
permanence au terminal via Internet et le contenu est téléchargé progressivement.
Il existe deux façons de protéger les contenus lus en cloud :
-
envoyer le contenu en langage XML, avec une protection écran par écran, ou chapitre
par chapitre ;
-
envoyer des images de fichiers jpeg (DRM par capture d’écran). Les éventuels pirates
doivent alors récupérer chaque image, les faire passer par un système de
reconnaissance des caractères (OCR) puis les assembler afin d’obtenir le contenu
intégral.
Le DRM pour les contenus autres que les publications
Depuis 2007, le téléchargement permanent de musique est dénué de DRM. Il en est
aujourd’hui de même pour les téléchargements sur appareils mobiles. Et pour cause, toutes
les tentatives de protection des fichiers sur CD ont échoué. Les systèmes comme Spotify ou
Deezer utilisent le cryptage par streaming, qui permet un mode d’écoute hors ligne (la
musique étant enregistrée sur l’appareil d’écoute).
Concernant la vidéo (DVD, Blue Ray, streaming), tous les systèmes utilisent un DRM. C’est
d’ailleurs dans ce domaine que la technologie DRM est à la fois la plus intensément utilisée
et la plus évoluée.
Enfin, la situation est très variée pour ce qui est des jeux vidéo, allant d’une protection très
renforcée à aucune protection (ce dernier cas étant souvent un argument de vente pour les
joueurs !). Contrairement aux préoccupations qui ont cours dans le secteur de l’édition,
l’enjeu pour les créateurs des jeux consiste à générer un maximum de revenus durant les
premières semaines qui suivent le lancement d’un jeu.
L’investigation numérique légale : Watermarking et Fingerprinting
Deux nouvelles technologies, regroupées sous l’appellation forensic content protection
technologies (investigation numérique légale pour la protection des droits d’auteur), méritent
d’être mentionnées : le watermarking (tatouage numérique2) et le fingerprinting (empreinte
numérique). Elles n’empêchent pas l’utilisation non autorisée de contenus, mais permettent
de rechercher sur Internet d’éventuelles copies en vue de fournir la preuve qu’un contenu a
fait l’objet d’une utilisation non autorisée. Ces technologies sont notamment utilisées par
Pottermore ou O’Reilly pour le watermarking et par YouTube ou les agences de presse en
ligne pour le fingerpriting.
2
Qui intègre des informations personnelles de l’acquéreur. Syndicat national de l’édition
Assises du livre numérique – 8 novembre 2012
2
Le projet IDPF EPUB LCP
L’IDPF (International Digital Publishing Forum)
adhèrent
des grands noms de l’Internet, des fabricants de matériel, des éditeurs, des libraires et des
associations professionnelles, a pour objectif de promouvoir des standards DRM
a développé en 2011 la troisième version du standard EPUB, basée sur
les standards du web HTML 5 et CSS 3. L’idée principale est de favoriser l’utilisation d’un
DRM standard par les fabricants, en compensant le fort niveau de sécurité par une simplicité
d’utilisation et des coûts de maintenance restreints.
Un appel à propositions a été publié en juillet. Six propositions ont été rendues en
septembre : par FileOpen, deux start-up, Kobo, Marlin Developer Community, et Sony DADC.
Leur évaluation est en cours et sera présentée au conseil d’administration de l’IDPF à la fin
du mois.
Le DRM n’a jamais été conçu comme une protection inattaquable et durable. Il serait
d’ailleurs intéressant de pouvoir mesurer l’impact financier du DRM, pour mieux identifier la
façon dont il limite les utilisations non autorisées. Mais une telle étude serait très complexe à
mettre en œuvre. Ce n’est pas non plus une solution intégrale, mais un outil parmi d’autres.
Enfin, du point de vue du droit, le DRM relève moins du domaine de la protection que de la
gestion. C’est une notion ambivalente, à la fois de gestion des droits (au sens de contrôle de
l’usage des informations protégées que sont les contenus numériques) et d’information sur
ces droits.
Les enjeux juridiques de la protection (Maître Jean Martin)
La technique au secours du droit : les MTP
La société a fait le choix de concilier à la fois la protection de la propriété intellectuelle,
l’accès à la culture et une forme de liberté de la vie privée des utilisateurs concernés.
Les MTP (mesures techniques de protection) ont toujours existé. Pour autant, elles ne
suffisent pas à elles seules. En effet, si le droit court après la technique, la technique court
elle-même après la technique – et le droit finit par venir à son secours à son tour. Ce cercle,
qui peut en agacer certains, se veut très vertueux. En effet, les MTP pouvant être
contournées par d’autres techniques, une « couche » de droit s’avère indispensable pour
protéger la technique qui vient protéger le droit !
C’est la raison pour laquelle les MTP ont un statut légal. Elles sont inscrites dans le droit
européen et national. La finalité poursuivie par le législateur est la maîtrise de l’utilisation des
œuvres protégées et reconnues comme telles. Par ailleurs, s’il a refusé de décrire
précisément le dispositif technique, au risque de le figer, il emploie toutefois les termes de
« cryptage », de « brouillage » ou encore de « mécanisme de contrôle ». Enfin, il prévoit
que pour être éligibles à une protection juridique, les mesures techniques doivent être
efficaces et remplir une finalité d’intérêt général. Si une MTP peut être contournée ou cassée
de manière involontaire, c’est qu’elle n’a pas une efficacité suffisante. En l’occurrence, l’acte
interdit est non seulement celui qui altère le bon fonctionnement de la protection et l’atteinte
de sa finalité, mais aussi celui qui fournit les moyens de le faire. Les peines encourues sont
plus élevées lorsqu’est démontrée la volonté ferme de détourner ou casser une MTP.
Outre les conditions contenues dans la définition légale, la MTP doit assurer un équilibre
entre l’intérêt général et les intérêts privés, en remplissant des conditions dans les relations
avec les auteurs (les informer sur les objectifs poursuivis par ce mode d’exploitation et sur
Syndicat national de l’édition
Assises du livre numérique – 8 novembre 2012
3
les conditions d’accès aux caractéristiques essentielles de la MTP) d’une part et dans les
relations avec les consommateurs d’autre part (les informer des éventuelles restrictions
d’usage, ne pas faire obstacle aux exceptions existantes, comme l’exception pour copie
privée, et ne pas empêcher l’interopérabilité).
L’autorité de régulation compétente en France, l’Hadopi, peut être saisie en cas de conflit ou
d’absence de conciliation entre l’intérêt général et les intérêts privés dans la pratique. Elle
peut être de bon conseil pour rapprocher les parties, mais aussi faire injonction de procéder
à certains aménagements.
La responsabilité des hébergeurs : « un port franc »
La loi considère que certains prestataires techniques ne peuvent être responsables des
contenus qu’ils hébergent, à condition qu’ils se contentent d’un rôle technique. Ainsi,
l’imprimeur n’est pas responsable du contenu qu’il imprime.
De la même façon, la loi protège la non responsabilité des hébergeurs, intermédiaires
techniques chargés de stocker des informations fournies par des tiers en vue d’une mise à
disposition du public, à la condition qu’ils n’élargissent pas leur champ d’intervention à la
gestion des contenus (classement, insertion de publicités, etc.). Plus exactement, les
hébergeurs répondent au régime de la responsabilité allégée : ils doivent retirer un contenu
dès qu’ils ont connaissance qu’il est illicite.
Cela étant, dans une décision de la Cour de cassation du mois de juillet 2012, le juge semble
admettre que toute personne susceptible de contribuer à la prévention d’un délit de
contrefaçon, à la violation du droit de propriété intellectuelle ou à sa cessation doit le faire
sur décision de justice. Il s’agit là de l’évolution d’une responsabilité très limitée voire d’une
non responsabilité des hébergeurs vers une obligation d’intervention ponctuelle pour
favoriser la protection de la propriété intellectuelle.
Au-delà du droit exclusif ? Le cloud n’est pas une terra incognita
La jurisprudence française considère que la copie privée n’est autorisée qu’en l’absence
d’intervention d’un intermédiaire. Pour le dire autrement, l’intermédiaire ne peut pas
bénéficier de l’exception de copie privée. Or, pour offrir certains services spécifiques, le cloud
– réseau virtuel privé – passe par un serveur extérieur. C’est notamment le cas pour la
synchronisation du casier personnel entre différents terminaux personnels, qui pourrait être
considérée comme une copie privée. La question sur l’origine de la copie n’a pas encore
trouvé de réponse. Quel est, dès lors, le droit qui s’applique : le droit exclusif ou l’exception
pour copie privée ?
Plusieurs questions restent encore posées. Les acteurs du cloud computing peuvent-ils
bénéficier du statut d’hébergeur ? Le cloud computing doit-il être soumis à la rémunération
pour copie privée ?
Pour y répondre, il convient de se garder de toute qualification globale, tant la diversité des
services concernés est grande. Certains prestataires de services, ou certaines fonctions,
peuvent s’apparenter à des hébergeurs. C’est le cas des prestataires qui fournissent un
casier personnel, par exemple. Pour eux, un hébergeur n’étant pas responsable, le droit
exclusif ne peut pas s’appliquer. De la même façon, le régime de l’exception pour copie
privée ne s’applique dans le cloud qu’à certaines fonctionnalités seulement.
Pour éviter le vide juridique, le régime du fair use semble particulièrement pertinent. Mais il
n’existe pas en France !
Syndicat national de l’édition
Assises du livre numérique – 8 novembre 2012
4