Shopify engage des poursuites pour abus du DMCA
(torrentfreak.com)- Shopify a saisi le tribunal fédéral de New York après que des demandes de retrait DMCA frauduleuses ont fait supprimer des fiches produits de boutiques de parfums et déclenché des avertissements de compte début octobre
- Le compte « Sacha Go » a envoyé plus de 70 demandes de retrait frauduleuses du 5 au 13 octobre, accusant à tort au moins 20 boutiques de parfums d’atteinte au droit d’auteur
- Shopify, qui traite chaque mois des milliers de notifications de retrait, en automatise une partie, si bien que ces fausses notifications ont pu entraîner de vraies suppressions et 52 avertissements de compte
- Les vendeurs touchés peuvent faire supprimer les avertissements via une contre-notification, mais le traitement peut prendre jusqu’à deux semaines et, s’ils ignorent leur droit de recours, ils risquent la fermeture de leur boutique au titre de la politique contre les récidivistes
- Shopify a rétabli toutes les suppressions et tous les avertissements, mais affirme que la réponse a coûté des dizaines de milliers de dollars, et réclame des dommages-intérêts ainsi qu’une injonction pour empêcher de futures fausses notifications DMCA
Fausses demandes DMCA visant des boutiques de parfums
- Shopify reçoit chaque mois des milliers de notifications de retrait DMCA émanant de titulaires de droits, dont une partie est traitée automatiquement
- Le compte « Sacha Go », créé le 5 octobre, a soumis des dizaines de demandes de retrait visant les fiches produits de plusieurs boutiques de parfums sur Shopify
- Ces demandes affirmaient que les fiches produits portaient atteinte au droit d’auteur, mais Shopify a enquêté après des signalements de vendeurs et a conclu que tous les retraits étaient infondés
- Shopify estime que ces notifications n’ont pas servi à protéger légitimement des droits, mais ont été utilisées comme moyen de harceler Shopify et ses vendeurs
L’action en justice intentée par Shopify
- Les informations de compte fournies par « Sacha Go » se sont révélées fausses
- Shopify a engagé devant le tribunal fédéral de New York une action pour violation du DMCA afin d’empêcher cette activité et des agissements similaires via de futurs comptes que le défendeur pourrait créer
- Selon la plainte, le défendeur Doe a envoyé des dizaines de notifications de retrait DMCA contenant de fausses déclarations, en prétendant détenir des droits d’auteur qui ne lui appartenaient pas
- Il est difficile en pratique de vérifier en détail chaque notification de retrait, avec pour conséquence que de fausses allégations peuvent déboucher sur des mesures réelles
- Certaines fiches produits ont été supprimées
- Des avertissements ont été attribués aux comptes des boutiques touchées
Les risques supportés par les vendeurs
- Si un vendeur dépose avec succès une contre-notification, l’avertissement peut être supprimé
- Toutefois, le traitement peut prendre jusqu’à deux semaines, période pendant laquelle le vendeur reste exposé à des sanctions sur son compte
- Les vendeurs qui ignorent leur droit de recours dans le cadre du DMCA risquent, face à un afflux soudain de notifications de retrait, de voir l’ensemble de leur boutique fermée au titre de la politique de Shopify contre les récidivistes
- Le défendeur est accusé d’avoir envoyé plus de 70 notifications de retrait frauduleuses entre le 5 et le 13 octobre
- Au moins 20 boutiques de parfums ont été visées
- De fausses allégations de violation du droit d’auteur ont été utilisées
- Un total de 52 avertissements a été émis sur plusieurs boutiques
Coût de la remise en état et demandes formulées
- Shopify a ouvert son enquête le 12 octobre et a finalement rétabli tous les éléments et supprimé tous les avertissements
- L’entreprise affirme que sa réponse a coûté des dizaines de milliers de dollars en temps de travail et en ressources
- Elle estime difficile à quantifier la perte de confiance engendrée par les sanctions imposées à des vendeurs innocents
- Le mobile du défendeur reste inconnu
- Shopify avance aussi que le défendeur aurait pu exploiter une boutique de parfums concurrente, auquel cas les notifications de retrait auraient pu viser à nuire à des concurrents
- L’entreprise indique vouloir identifier John Doe par la procédure de discovery et lui faire rendre des comptes
- Shopify réclame des dommages-intérêts ainsi qu’une injonction pour empêcher de futures fausses notifications DMCA
- La plainte de Shopify a été déposée auprès du tribunal de district sud de New York, et une copie est disponible en PDF
2 commentaires
Les signalements DMCA sont aussi très souvent utilisés à des fins malveillantes.
Dans le cas de la recherche Google, il est très fréquent que des signalements soient effectués pour exclure des sites concurrents des résultats de recherche, au point que la possibilité de signaler en masse n’est ouverte qu’aux principaux partenaires.
Avis sur Hacker News
Le problème de Shopify, c’est que littéralement n’importe qui peut ouvrir un faux compte et déposer une plainte DMCA pour faire retirer un concurrent
Le formulaire est aussi très basique >> https://help.shopify.com/en/legal/dmca#/form
Ces deux dernières semaines, le même escroc nous a harcelés en déposant 7 fausses demandes DMCA, et Shopify supprime automatiquement le contenu sans aucune vérification
La personne indique simplement les pages produit qu’elle veut, affirme qu’il s’agit de la source du contenu original et utilise des liens sans aucun rapport, voire des domaines en .xyz
Le support Shopify ne fait rien, même après 20 e-mails
Des centaines d’entreprises légitimes sont touchées à cause de cette faille exploitée par les escrocs
Voir https://twitter.com/hashtag/FixShopifyDMCA?src=hashtag_click
Des vendeurs copieurs envoyaient des demandes de retrait DMCA pour faire disparaître temporairement leurs concurrents et leur voler des ventes
Etsy et les autres ne prennent pas ce problème au sérieux, même quand des boutiques réalisant plusieurs millions de dollars de chiffre d’affaires annuel sont attaquées
C’est encore un exemple de société tech qui n’emploie pas assez de personnel pour examiner et vérifier manuellement des choses qui ne devraient pas être traitées par un ordinateur seul
J’aimerais qu’une personne connaissant les coulisses puisse expliquer comment Shopify continue d’éviter le problème alors qu’il existe des solutions aussi évidentes
À chaque fois, PayPal devait bloquer immédiatement notre compte, et nous ne pouvions pas travailler pendant une semaine, jusqu’à ce qu’ils vérifient et concluent que nous ne vendions rien d’inapproprié
Avec de la malveillance, il existe beaucoup de façons de nuire gravement à un concurrent en ligne :(
« Shopify supprime automatiquement le contenu sans aucune vérification », n’est-ce pas aussi ce que la loi exige ?
À ma connaissance, la seule mesure que le DMCA autorise est de remettre le contenu en ligne si l’on atteste sous serment qu’il ne s’agit pas d’une violation. En revanche, le niveau de preuves à exiger n’est pas clair
Nous aussi, nous subissons depuis un mois de faux DMCA, et Shopify ne nous apporte absolument aucun support
Merci au billet d’origine d’avoir mis cette situation en lumière
Gérer une activité sur Shopify est devenu très risqué ces temps-ci
Nous sommes maintenant en train de migrer notre boutique en ligne vers Woocommerce, où il est bien plus difficile de faire retirer du contenu avec de faux DMCA
Pour comprendre à quel point la situation est cauchemardesque, imaginez ceci : vous envoyez du trafic payant vers une page produit avec un bon ROAS grâce à des publicités optimisées pendant des mois, puis un concurrent dépose un faux DMCA et Shopify supprime automatiquement le contenu de la page sans vérification
Vos publicités optimisées envoient alors les clients vers une page vide, avec en plus le risque que votre compte publicitaire soit signalé
On pourrait se dire qu’il suffit de rediriger l’URL vers une page dupliquée, et c’est effectivement une solution qui semble bonne, mais le concurrent surveille la page produit et dépose aussitôt un autre faux DMCA
Vous redirigez à nouveau, et un autre faux DMCA arrive
Et ce n’est pas fini. Une fois que 4 ou 5 faux DMCA se sont accumulés, l’accès administrateur au compte Shopify est verrouillé et, dans le pire des cas, Shopify peut vous suspendre automatiquement
Vous ne pouvez alors plus traiter les commandes des clients, ceux-ci commencent à annuler leurs paiements, et le prestataire de paiement auprès duquel vous avez bâti votre réputation pendant des années peut suspendre votre compte
Le support inexistant de Shopify vous dit d’envoyer une contre-notification DMCA et d’attendre que l’équipe Trust & Safety vous contacte
Ensuite, vous recevez une réponse automatique indiquant que l’autre partie a été informée et que, si l’escroc ne dépose pas de plainte en justice, vous pourrez remettre le contenu en ligne deux semaines plus tard
Deux semaines plus tard, lorsque vous remettez le contenu en ligne, le jour même ou le lendemain, le même escroc, qui surveille comme un faucon, dépose à nouveau un faux DMCA sur la même page produit avec le même faux compte
N’est-ce pas magnifique ?
Shopify pourrait bloquer 80 % de ces faux DMCA simplement en ajoutant à son formulaire bâclé un champ de vérification du numéro de téléphone ou de téléchargement d’une pièce d’identité. Mais pour Shopify, une entreprise qui vaut des dizaines de milliards de dollars, cela semble être un défi trop difficile
L’une des choses que YouTube fait très mal, c’est que lorsqu’une personne dépose une revendication de droit d’auteur, elle peut récupérer les revenus de la vidéo
J’ai déjà reçu des avertissements de droit d’auteur sur des vidéos que j’avais créées, et quand je vérifiais, ma vidéo était généralement bien plus ancienne que la musique qu’on l’accusait d’avoir copiée
Évidemment, je gagne toujours ces litiges, mais YouTube n’a jamais remis les choses en ordre
En gros, le système considère l’accusé comme coupable jusqu’à ce qu’il prouve son innocence, et ce n’est pas comme ça que ça devrait fonctionner
[1] https://www.reddit.com/r/stocks/comments/153z5r7/shopify_is_...
Si c’était possible, les sites pourraient empiler les exigences au point de rendre les demandes de retrait pratiquement impossibles
Shopify a l’obligation de traiter ces demandes de bonne foi, et il est parfaitement prévisible que ce type d’actes malveillants puisse causer de graves préjudices à ses clients
Fabriquez-vous directement vos produits, ou s’agit-il plutôt de produits génériques rebrandés ?
Les abus du DMCA semblent bien plus nuisibles que les violations du droit d’auteur qu’il est censé combattre
Au minimum, les notifications de retrait DMCA ne devraient être acceptées que de personnes réelles vérifiées, pas de comptes anonymes
Et les personnes vérifiées devraient être tenues responsables en cas d’abus
Une bonne réforme serait d’ajouter une responsabilité lorsqu’il s’avère qu’il n’y a pas d’infraction, avec le versement à l’accusé de dommages-intérêts punitifs substantiels couvrant son temps, la détresse liée au fait d’être visé par une action en justice, les frais d’avocat, plus un montant supplémentaire, ainsi qu’une indemnisation de l’hébergeur pour le temps perdu
Lorsque le Congrès américain a débattu de cette loi, les parties concernées connaissaient parfaitement toutes les conséquences
J’aimerais que des personnes hors du monde occidental déposent davantage de fausses notifications DMCA
Ce serait encore mieux si cela venait de Russie ou de Chine, hors de portée des tribunaux occidentaux ; le système DMCA actuel doit apprendre à se défendre contre les usages abusifs
Une entreprise a déjà fait retirer, au moyen d’une fausse demande de retrait, une vidéo qui disait des choses négatives à son sujet
Elle a fini par être remise en ligne, mais ils ont pu la laisser hors ligne pendant plus de 10 jours, et je n’avais aucun recours
J’aimerais que le camp qui accorde de l’importance à la liberté d’expression réalise que cela peut servir d’arme pour faire taire des propos
Parfois, j’aimerais que quelqu’un DMCA en masse des publicités électorales pour le Congrès. Si les politiciens comprenaient à quel point ce système est unilatéral et facile à abuser, ils le corrigeraient peut-être vraiment
Il suffirait de supprimer le fait d’ériger en cause d’action cette absurdité du « ne me copiez pas ! »
Le monde survivrait si les quelques pour cent de musiciens, écrivains et acteurs les plus en vue gagnaient un peu moins d’argent grâce à ce délit fictif
Si l’on inverse les rôles, c’est retiré immédiatement
Si un acteur non occidental ciblait les 1 000 plus grosses boutiques Shopify avec un système automatisé, je pense que ce serait corrigé plus vite
C’est pourquoi il est difficile de changer la loi par l’abus
« Shopify affirme qu’il n’est pas possible d’examiner en détail la validité de chaque notification de retrait. C’est ainsi que de fausses allégations ont effectivement conduit à des retraits, et que les boutiques concernées ont aussi reçu des strikes sur leur compte. »
Les strikes ne font pas partie du DMCA ; c’est un ajout propre à Shopify
Le DMCA n’exige absolument pas la fermeture de comptes
Pour protéger les vendeurs innocents, il faudrait sans doute commencer par corriger ce point
Source : 17 USC 512(i)(1)(A)
https://www.law.cornell.edu/uscode/text/17/512
Bien sûr, cette politique n’exige pas d’inclure les fausses accusations de violation dans l’évaluation des récidivistes, mais beaucoup d’entreprises le font
Shopify pourrait donc ajouter à sa politique sur les récidivistes un critère du type « était-ce justifié ? », afin d’éliminer la plupart, voire la totalité, des effets des fausses accusations, et prévoir une revue humaine avant la fermeture d’un compte
Mais cela représente plus de travail que ce que des entreprises de cette taille semblent prêtes à consacrer pour rendre leur système de strikes équitable
« Shopify affirme qu’il n’est pas possible d’examiner en détail la validité de chaque notification de retrait. C’est ainsi que de fausses allégations ont effectivement conduit à des retraits, et que les boutiques concernées ont aussi reçu des strikes sur leur compte. »
Pardon pour la formulation brutale, mais c’est 100 % du bullshit
Si l’entreprise n’est pas capable d’enquêter sur ce genre d’allégations avant de chasser ses propres clients, alors elle n’est pas non plus capable d’exister
Enquêter sur ce type d’allégations avant d’agir doit être considéré comme un coût d’exploitation
Il est difficile de reprocher à une entreprise de ne pas disposer de suffisamment de personnel pour enquêter sur les fraudes aux retraits
Une telle entreprise risque d’être moins compétitive, car il est trop facile d’envoyer de fausses demandes de retrait, tandis que les enquêtes prennent beaucoup de temps et coûtent cher
La plupart des clients préféreront prendre le risque d’être victimes d’un faux retrait DMCA plutôt que de payer davantage pour l’éviter. D’autant que la plupart ne comprennent probablement pas à quel point le DMCA est facile à détourner
S’il arrive 10 000 signalements par jour, comment les traiter ? Une seule personne ne suffit pas, il faut une équipe
Qui recruter ? Des personnes formées au droit d’auteur ? Embaucher des personnes avec ce type de formation pour un travail répétitif de modération de contenu serait difficile, long et coûteux
Recruter des stagiaires ou des employés peu payés sans formation pertinente ? On obtient alors une équipe, mais les signalements risquent d’être mal traités et du contenu protégé par le droit d’auteur peut sembler passer entre les mailles du filet
Quand la responsabilité juridique est en jeu et qu’un désastre de relations publiques se profile, il faut encadrer davantage des modérateurs payés au salaire minimum
Quelle est l’étape suivante ? Des modérateurs de modérateurs qui vérifient les vérifications des modérateurs ? On revient alors au point de départ. Et qui les vérifiera, eux ? Cela se répète indéfiniment
Si le système est trop facile à exploiter, je ne trouve pas juste de faire peser cette charge sur l’entreprise
Pour référence, je suis généralement du côté des consommateurs, pas des entreprises
C’est une bonne chose qu’une plateforme lutte contre les abus du DMCA au nom de ses utilisateurs
C’est aussi une décision intelligente pour Shopify, car la fiabilité est essentielle si l’entreprise veut traiter les transactions commerciales de ses clients
Bien sûr, cela peut avoir un coût
J’aimerais que d’autres plateformes fassent de même, sinon pour toutes les fausses accusations, au moins pour créer un précédent
La personne mise en cause dispose bien d’une procédure de contestation, mais elle se retrouve suspendue pendant deux semaines et ne peut plus exercer son activité sur la marketplace Shopify
Si Shopify a engagé une action en justice, ce n’est pas pour protéger ses clients, mais parce que le tumulte provoqué par la gestion de cette situation lui a causé une importante perte de réputation
De mon point de vue, deux parties sont fautives : l’utilisateur qui a déposé les fausses demandes de retrait, et Shopify, qui n’a pas fait preuve de diligence raisonnable envers l’utilisateur à l’origine de ces demandes, a automatisé la procédure avec des algorithmes/heuristiques mal testés ou inadaptés, et n’a pas traité les appels rapidement, empêchant des commerçants de vendre pendant une durée déraisonnablement longue
Si Shopify veut automatiser agressivement pour réduire ses coûts, c’est-à-dire augmenter ses propres profits, elle doit disposer d’une équipe assez importante pour traiter les appels rapidement, par exemple dans les 24 heures
Il faut vraiment applaudir Shopify pour avoir intenté ce procès ; c’est une bonne chose, et cela n’arrive pas assez souvent.
J’ai toutefois une question : « Si un vendeur dépose une contre-notification valide, le strike est retiré, mais le traitement peut prendre jusqu’à deux semaines. »
Existe-t-il une raison juridique pour laquelle une contre-notification ne pourrait pas être traitée aussi rapidement et automatiquement que la revendication DMCA initiale ?
Cela ressemble à une aide que Shopify pourrait entièrement contrôler. Pourquoi le traitement d’une contre-notification devrait-il prendre deux semaines ?
Ou bien y a-t-il, dans la procédure DMCA, un problème juridique qui impose ici un délai ?
Une partie affirme qu’il y a contrefaçon, l’hébergeur retire le contenu ; l’autre répond qu’elle est dans son droit, l’hébergeur le remet en ligne.
Les deux parties ayant fait des déclarations juridiques, le plaignant peut engager une action en justice contre le défendeur.
Mais, dans la pratique, ce n’est pas ainsi que cela fonctionne. Ce système n’a pas été conçu pour protéger les particuliers, mais pour les grands groupes de médias.
Les maisons de disques et les studios de cinéma ne voulaient pas que leurs contenus puissent être copiés facilement.
Les hébergeurs ne craignent pas la colère d’un particulier, mais ils craignent les entreprises qui pèsent des milliards de dollars.
Ils réagissent donc immédiatement et automatiquement aux notifications de retrait, mais hésitent à remettre un contenu en ligne sur la seule base d’une contre-notification. Le plaignant est probablement une grande entreprise, ou son représentant, et pourrait les poursuivre au motif qu’ils ont continué à fournir le contenu.
Etsy va encore plus loin : il n’implémente tout simplement pas le DMCA.
À la place, lorsqu’il reçoit une notification d’atteinte au droit d’auteur, il procède à un retrait automatique et applique un strike. Il n’existe aucune option de contre-notification.
En tant que défendeur, on vous dit de contacter le plaignant et de le convaincre de retirer sa réclamation.
Évidemment, même si votre dossier est excellent, l’autre partie ne se rétracte jamais.
Pendant ce temps, la boutique est fermée et l’argent restant sur le compte est gelé.
Si vous demandez à Etsy ce que vous devez faire, vous recevez une réponse automatique, puis un silence éternel.
J’ai perdu les deux années passées à développer ma première boutique et j’ai dû repartir de zéro.
Il est intéressant que Shopify ait clairement documenté le coût du fait de ne pas externaliser la modération à du machine learning/de l’IA ou à des contractuels sous-payés.
« Shopify a ouvert une enquête et a finalement rétabli tous les éléments et supprimé tous les strikes, mais cela a eu un coût important. “Cet effort a coûté des dizaines de milliers de dollars en temps de travail humain et en ressources.” »
Comme « des dizaines » signifie, en langage juridique, [x>12 ; x<151], Shopify présente donc le coût de modération d’un dossier DMCA comme « des dizaines de milliers de dollars » / « environ une centaine de cas » = « quelque chose comme plusieurs dizaines de dollars multipliées par plusieurs dizaines », autrement dit, en clair, des centaines de dollars par demande.
Donc si Shopify estime ainsi le coût d’un véritable examen des notifications DMCA, cela explique en grande partie pourquoi les fermetures de comptes par les grandes entreprises modernes se passent ainsi, contrairement à un traitement purement automatisé comme chez d’autres grandes entreprises.
Elles préfèrent perdre l’activité d’un client à cause d’un faux positif plutôt que d’assumer une procédure qui coûte des centaines de dollars pour chaque demande client du type « réexaminez, voici mes preuves ».
On peut aussi utiliser cela pour estimer les coûts potentiels, du point de vue du « risque d’exposition » dans les documents déposés auprès de la SEC, lorsqu’une loi oblige un fournisseur à 1) expliquer les décisions algorithmiques et 2) traiter les appels par l’intermédiaire d’un humain.
Il faut être extrêmement prudent. Le DMCA est mauvais, mais Internet fonctionne effectivement malgré tout.
Tout le monde déteste le DMCA et peut proposer des idées d’amélioration, mais la plupart des modifications réellement proposées sous forme de lois ces dernières décennies ont été franchement terribles.
La plupart cherchaient à étendre l’approche de type DMCA à d’autres domaines, comme le DNS.
Des idées néfastes comme COICA, PROTECT IP, E-PARACITE ou SOPA attendent de combler le vide si quelqu’un rouvre le DMCA.
Et il est très probable qu’on y ajoute une formulation permettant aux titulaires de droits d’« inspecter » tout ce qui est en ligne, ce qui constituerait une nouvelle tentative d’interdire le chiffrement digne de ce nom.