Suivant l’exemple des États-Unis, l’UE a commencé à publier sa propre liste de surveillance du piratage en 2018.
La liste de surveillance semestrielle de la contrefaçon et du piratage est établie par la Commission européenne. Comme aux États-Unis, il est basé sur les soumissions de groupes de détenteurs de droits d’auteur qui signalent des sites et des services problématiques.
Les titulaires de droits sont heureux de contribuer. En plus de signaler les sites et services qui se livrent de manière flagrante à des activités portant atteinte au droit d’auteur, ils profitent également de l’occasion pour demander une coopération plus large à des services tiers. Dans certains cas, cela conduit à des suggestions concrètes qui vont au-delà de ce que la loi exige.
Répertorier les exigences anti-piratage
Par exemple, dans sa dernière soumission, le groupe de l’industrie de la musique IFPI a suggéré que les services tiers devraient mettre en œuvre des politiques solides de « connaître votre client ». Cela s’applique également au CDN populaire et au service proxy Cloudflare.
« CloudFlare devrait faire preuve de diligence raisonnable pour confirmer qui sont ses clients et établir leurs activités proposées et réelles », a écrit l’IFPI.
D’autres groupes de titulaires de droits ont fait des suggestions similaires. Par exemple, le MPA de l’industrie cinématographique a souligné que les intermédiaires en ligne tels que les CDN, les registraires de domaine et les sociétés d’hébergement devraient cesser d’offrir leurs services aux clients qui ne sont pas correctement vérifiés.
Ce sont des demandes compréhensibles des titulaires de droits, qui peuvent utiliser chaque bit d’information pour retrouver les opérateurs des sites problématiques. Cependant, ces demandes de vérification ne sont pas cimentées dans la législation de l’UE, de sorte que les services ne sont pas légalement tenus de contrôler tous les clients.
Cloudflare demande à l’UE de se concentrer sur les actes « illégaux »
Ce dernier point a également été souligné par Cloudflare, qui a envoyé une réfutation à la Commission européenne après avoir été signalé par plusieurs titulaires de droits comme un candidat potentiel pour la liste de surveillance du piratage.
La société de San Francisco compte des millions de clients dans le monde entier. Il s’agit notamment des gouvernements et des détenteurs de droits d’auteur, mais également de nombreux sites plus petits qui tirent parti du CDN et des fonctionnalités de sécurité de la plate-forme.
Dans sa réfutation, Cloudflare soutient l’initiative de la liste de surveillance. Cependant, il demande instamment à l’UE de limiter les sites et services répertoriés à ceux qui semblent réellement agir contre la loi, et non à ceux qui ne respectent pas les souhaits de tous les titulaires de droits d’auteur.
« La Commission ne devrait pas publier de rapport – même informel – qui soit simplement un mécanisme permettant à des parties prenantes particulières d’exprimer leurs griefs selon lesquels des entités ne prennent pas d’action volontaire particulière pour répondre à leurs préoccupations ou pour plaider en faveur de nouvelles politiques. »
L’inscription de sociétés telles que Cloudflare sur la seule base des plaintes des titulaires de droits d’auteur pourrait donner l’impression que l’UE soutient ces allégations, fait valoir la société. Cela pourrait potentiellement avoir un impact sur les discussions juridiques et les débats politiques en cours.
« Notre point de vue est que le document du personnel de la Commission et la liste de surveillance devraient être limités aux allégations de comportement illégal vérifiées par la Commission, sur la base de normes juridiques fondées sur des principes et équitables », note Cloudflare.
« La vérification est une menace indirecte pour la sécurité »
En plus de cette critique plus large, la société fait également valoir que certaines des demandes des titulaires de droits pourraient s’avérer problématiques. Par exemple, un processus de vérification approfondi impliquerait des coûts importants, ce qui pourrait signifier que l’entreprise n’est pas en mesure de maintenir son offre gratuite.
Par conséquent, les petits sites peuvent perdre le bénéfice de la protection gratuite offerte, car ils ne peuvent pas se permettre de payer pour le service.
« Modifier ce processus d’inscription en ligne, qui est conforme à la loi en vigueur, pour exiger un examen manuel des nouveaux comptes rendrait impossible l’offre de ces services gratuits à grande échelle, dégradant l’expérience Internet pour tous les utilisateurs et rendant une grande partie du Web plus vulnérable aux cyberattaque », écrit Cloudflare.
Le fournisseur de CDN souligne également qu’il va déjà au-delà de ce que la loi exige pour aider les ayants droit. Par exemple, cela fonctionne avec des « notificateurs de confiance » qui peuvent demander les adresses IP d’origine des sites problématiques, lorsque ceux-ci sont signalés.
Ces mesures volontaires et d’autres ont déjà été soulignées dans une communication distincte au gouvernement américain. Selon Cloudflare, l’entreprise fait preuve de bonne volonté tout en respectant toutes les lois applicables.
Plusieurs des groupes de titulaires de droits qui se plaignent de Cloudflare sont également des « notificateurs de confiance ». Bien que cela aide en effet à savoir où les sites et les services sont hébergés, ils pensent que cela ne suffit pas.
L’IFPI, par exemple, mentionne que Cloudflare fait apparemment très peu pour s’adresser aux clients pour lesquels il reçoit un grand nombre de plaintes.
« [N]les notifications ou demandes d’informations dans le cadre du programme « signaleur de confiance » doivent donner lieu à une action significative vis-à-vis du client. Le programme doit alimenter une politique de récidive, mais dans le cas de CloudFlare, rien ne prouve qu’il le fasse.
Il est clair que les détenteurs de droits d’auteur et Cloudflare ont des points de vue différents sur la façon de s’attaquer au problème du piratage. Reste à savoir si l’UE estime que cela justifie une mention sur la liste de surveillance du piratage.
Cloudflare a été mentionné dans la première liste de surveillance de l’UE en 2018, mais a été retiré de la version suivante. Si cela dépend du fournisseur CDN de San Francisco, il restera à l’avenir hors de la liste.
« La liste de surveillance n’est pas l’endroit approprié pour défendre de nouvelles politiques concernant ce que les fournisseurs de services en ligne devraient collecter sur leurs utilisateurs », écrit la société.