Collecte de données de géolocalisation mobile : la Cnil mène l’enquête au regard du RGPD

Publié le 27 juin 2022 par Charles de Laubier

Le 13 juin 2022, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir confié à son laboratoire Linc une étude sur les données de géolocalisation collectées par des applications mobiles, la revente de données et les data brokers. Elle vérifiera la conformité avec le RGPD.

« Si cette étude n’est pas liée à une procédure de contrôle ou de sanction, elle s’inscrit néanmoins dans l’une des thématiques prioritaires de contrôles puisqu’en 2022 la Cnil vérifiera la conformité au RGPD des professionnels du secteur [en l’occurrence de la prospection commercial, dont la publicité en ligne, ndlr], en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers) », précise le gendarme français des données et des fichiers informatiques.

Données anonymisées ou authentiques
Cela fait partie de ses priorités pour l’année en cours, dans le cadre sa mission de contrôle du respect du règlement général sur la protection des données (RGPD), lequel fut adopté en 2016 par le Parlement européen (1) et en vigueur depuis mai 2018 dans les Vingt-sept. Cette enquête est confiée au Laboratoire d’innovation numérique (Linc), dirigé depuis plus d’un an par Vincent Toubiana (photo). Cette mission s’achèvera dans quinze mois – en septembre 2023 – et « ce projet donnera lieu à plusieurs publications sur le site web du Linc » (2). Si la Cnil n’envisage pas – pour l’instant ? – d’actions répressives à l’encontre des exploitants de données, anonymisées et/ou personnelles, qui enfreindraient le RGPD et la protection de la vie privée des internautes, elle prévoit de « sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles ».
Pour étudier les pratiques aux finalités publicitaires et marketing, le Linc est en train d’analyser « un échantillon de données correspondant à la France » que la Cnil s’est procuré auprès d’un data broker de la place en se faisant passer pour un client potentiel lambda. Elle a pu ainsi obtenir du courtier de données « un jeu de données de géolocalisation » concernant des personnes. La Cnil précise que le jeu de données concerné est un fichier comportant des données de géolocalisation horodatées avec des points de localisation associés à près de 5 millions d’identifiants publicitaires de smartphones (Android et iOS) sur une période d’environ une semaine en 2021. « Les données transmises, précise le régulateur des données personnelles, sont présentées comme anonymisées par le revendeur de données. Après une rapide analyse, la Cnil considère qu’au moins une partie de ces données est authentique. Elle vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci ».
Dans l’éventualité où des personnes seraient réidentifiées, assure donc l’autorité indépendante de la place de Fontenoy, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées. « Si vous souhaitez plus d’informations sur ce traitement ou si vous souhaitez exercer vos droits, vous pouvez contacter ip@cnil.fr ou adresser un courrier à la Cnil à l’attention du service Linc », indique-t-elle. Des mesures particulières ont même été prises pour assurer la confidentialité de ces données auxquelles ne pourront accéder que l’équipe du Linc. Dans le jeu de données fourni, apparaissent des identifiants publicitaires. Ce que l’on appelle « identifiant publicitaire » consiste en une chaîne de caractères associée à un unique smartphone et permettant à des annonceurs de le reconnaître pour lui adresser de la publicité. « Comme son nom l’indique, cette donnée est identifiante : il s’agit donc d’une donnée personnelle. Un acteur disposant de deux sources de données présentant le même identifiant publicitaire est en mesure de relier les informations et de construire un profil plus complet de la personne à laquelle l’identifiant est associé », souligne la Cnil.

Deux missions : information et veille techno
Un courtier de données est à même de pouvoir relier les données d’utilisations collectées à partir de différentes applications installées sur un même smartphone. « Plus cet identifiant est stable dans le temps, fait remarquer l’autorité, plus il permet d’accumuler des informations sur les habitudes des propriétaires de smartphones. Il est donc conseillé de renouveler régulièrement cet identifiant ». Dans l’étude du Linc, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. Un acteur de la publicité, lui, cherchera à faire le lien utiliser la valeur de l’identifiant pour l’associer à d’autres données telles que des données d’utilisation d’applications mobiles. La course à la géolocalisation mobile à des fins de publicités ciblées en temps réel – le RTB (Real Time Bidding) – serait la plus grande atteinte à la vie privée, selon l’ONG irlandaise ICCL (3), qui a publié le 16 mai dernier une étude édifiante (4) : en Europe, l’industrie du RTB expose les données des gens 376 fois par jour en moyenne ; aux Etats-Unis, c’est 747 fois ! L’industrie américaine et européenne du RTB a généré plus de 117 milliards de dollars en 2021.

Des mesures législatives ou réglementaires ?
Cette étude sur les données de géolocalisation collectées par des applications mobiles s’inscrit dans le cadre de deux missions précises de la Cnil prévues par la loi « Informatique et Liberté » : d’une mission d’information telle que définie dans l’article 8.I.1 (« Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ») ; d’une mission de suivi de l’évolution des technologies de l’information telle que définie dans l’article 8.I.4 (« Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er »).
Dans sa mission de suivi de l’évolution des technologies de l’information, la Cnil peut même proposer au gouvernement des mesures législatives ou réglementaires pour procéder à l’« adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ». Reste à savoir s’il faudra adapter les textes en vigueur aux données de géolocalisation collectées par des applications mobiles, à la revente de données et aux pratiques des data brokers. Quoi qu’il en soit, la Cnil est tenue de contrôler la conformité des acteurs du numérique en France au RGPD, et les données de géolocalisation des données mobile – à l’ère du smartphone utilisé comme premier écran – sont particulièrement sensibles à cet égard.
D’autant que la loi « Informatique et Libertés » de 1978 n’a jamais été autant réécrite depuis l’ordonnance « Protection des données personnelles » du 12 décembre 2018 qui a mis en conformité le droit national français (5) avec le RGPD entré en vigueur au niveau européen depuis le 25 mai 2018. Cette transposition a notamment eu un impact sur le 1er article de cette loi française historique sur l’informatique, les fichiers et les libertés, qui en réfère désormais au RGPD européen notamment. Ainsi : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s’exercent dans le cadre du [RGPD], de la directive [dite « Police-Justice », ndlr (6)] et de la présente loi [« Informatique et Libertés »] ».
L’on comprend pourquoi la collecte des données de géolocalisation par les éditeurs d’applications mobiles soit mise sous surveillance et fasse l’objet d’une enquête de la part du régulateur des données personnelles. La question de l’anonymisation de ces data géolocalisées et de leur identification en tant que données personnelles est cruciale, voire épineuse pour tout l’écosystème numérique et publicitaire.
Surtout que la directive européenne dite « ePrivacy » – modifiée (7) et transposée à l’article 82 de la loi « Informatique et Libertés » – interdit la collecte de données sans le consentement préalable de l’internaute (du mobinaute) concerné et sans qu’elle ait été rendues anonymes. Or cette directive « ePrivacy » prévoit en son article 5.3 que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cette disposition, transposée dans des termes similaires en droit français dans la loi « Informatique et Libertés », concerne a priori aussi bien les cookies stockés sur tout terminal connecté que l’accès aux données de géolocalisation qui y sont stockées.

Cookies et data géolocalisées, même combat ?
D’ailleurs, comme elle l’a déjà fait pour les cookies déposés par Amazon et Google (8), la Cnil pourrait très bien recourir non pas au RGPD – lequel suppose à « l’autorité chef de file » de coordonner la prise de décision avec les autres autorités concernées par le traitement des données en question – mais à s’appuyer plutôt sur cette directive « ePrivacy ». Dans ce cas, le gendarme français des données personnelles peut se considérer comme territorialement compétente pour contrôler et sanctionner des acteurs – même étrangers – abusant de la géolocalisation de données mobiles via leurs activités en France. @

Charles de Laubier

Violation de données personnelles sur Facebook : « Zuck »paiera-t-il des dommages et intérêts ?

Publié le 13 juin 2022 par Charles de Laubier

Depuis le 23 mai, le PDG cofondateur de Facebook – Mark Zuckerberg – est accusé d’avoir pris directement la décision qui a porté atteinte à la protection des données, provoquant le scandale « Cambridge Analytica » de 2016. Le procureur de Washington D.C. lui demande des dommages et intérêts.

Six ans après le scandale « Cambridge Analytica » qui a cloué au pilori la société britannique du même nom pour fuite massive en 2016 de données personnelles dans la campagne présidentielle de Donald Trump, voici que Mark Zuckerberg fait lui-même l’objet d’une plainte. Après le refus d’un juge en mars dernier que le PDG de Facebook soit cité comme témoin (1) dans la procédure engagée en 2018 contre le numéro un des réseaux sociaux (2), le procureur général du District de Columbia (Washington), Karl Racine (photo), remonte au créneau en poursuivant cette fois « Zuck » en l’accusant d’être directement responsable. Il demande à la justice de le condamner à verser des dommages et intérêts.

Dommages et intérêts demandés à « Zuck »
L’affaire retentissante « Cambridge Analytica », qui avait notamment porté sur l’utilisation illégale de 70 millions de comptes de Facebook aux Etats-Unis pour influencer en 2016 l’élection présidentielle américaine, a déjà valu à la firme de Menlo Park (Californie) 5 milliards de dollars d’amende infligés en juillet 2019 par la FTC (3). Cambridge Analytica a aussi manipulé des données personnelles lors de la campagne pour ou contre le Brexit au Royaume-Uni.
Cette nouvelle plainte à Washington D.C. s’attaque pour la première fois à Mark Zuckerberg en personne, en tant que PDG du groupe Meta Platforms (maison mère de Facebook depuis octobre 2021). Cette assignation en justice, déposée le 23 mai dernier par le procureur Karl Racine, démontre – preuves à l’appui – que le patron de Facebook était décisionnaire dans la tromperie des utilisateurs et la violation de loi américaine sur la protection des consommateurs. « Le District de Columbia est en possession d’éléments de preuve qui démontrent à la fois le bien-fondé de (…) la responsabilité personnelle de M. Zuckerberg et de ses violations de la CPPA [à savoir le California Consumer Privacy Act (CCPA) de 2018]», assure l’auteur de la plainte, qui demande au tribunal « réparation » en condamnant le PDG à « verser un dédommagement ou des dommages et intérêts » (4). Karl Racine, qui demande en outre de lui « infliger des sanctions civiles », explique que le groupe Facebook – « sous la direction » de Mark Zuckerberg – a modifié son business model parce qu’il a reconnu que son réseau social au « F » blanc sur fond bleu pourrait être encore plus rentable s’il pouvait exploiter et vendre – « auprès de tiers » – la capacité d’influencer de manière fiable le comportement de ses utilisateurs. Facebook a encouragé – « et, parfois, en collaboration avec (eux) » – des développeurs et des chercheurs afin de recueillir et d’analyser les données des utilisateurs de Facebook pour qu’ils puissent mieux apprendre à manipuler les humeurs de ces 2,9 milliards « d’amis » (à ce jour) et influencer leurs achats et même la manière dont ils votent. « Plus le Facebook de Zuckerberg attise la division et la polarisation, déstabilise les démocraties, amplifie les génocides et a une incidence sur la santé mentale des utilisateurs, plus Facebook et ses dirigeants gagnent de l’argent. Compte tenu des milliards de dollars en jeu, et n’ayant aucun égard envers les personnes qu’il prétend servir, Facebook – sous la direction de Zuckerberg – a décidé de cacher ces problèmes le plus longtemps possible, y compris en induisant intentionnellement en erreur les utilisateurs de Facebook ainsi que le public, la presse et les dirigeants politiques », dénonce le procureur général. A l’origine du mal : la décision prise en 2010 par Facebook – « encore une fois une idée de Zuckerberg » – d’ouvrir la plateforme Facebook à des tiers. C’est à partir de là que tout commence, Facebook ayant persuadé des développeurs externes de créer des applications accrocheuses pour le réseau social, « en dirigeant encore plus d’utilisateurs et de données d’utilisateurs vers la plateforme ». Ce détournement de user data s’est fait par des « portes latérales » (side doors) au sein des applications elles-mêmes. Et Karl Racine d’enfoncer le clou : « Etant donné que la plateforme de Facebook a été conçue pour permettre les abus, la société de Zuckerberg a fonctionné en grande partie sans mesures de protection appropriées pour protéger les utilisateurs : l’application des règles était laxiste, l’examen des violations des applications était incohérent ou subjectif, et les règles elles-mêmes étaient floues et déroutantes. Mais en 2018, le monde a appris cette imposture ».

Wylie et Kaiser : lanceurs d’alerte en 2018
La politique laxiste de « Zuck » dans la soi-disant protection des données personnelles éclate au grand jour en mars 2018 (voir encadré page suivante). « Ce qui est le plus troublant, c’est que Facebook s’est penché sur (l’activité de) Cambridge Analytica et a déterminé qu’elle présentait un risque pour les données des consommateurs, mais a choisi d’enterrer ces préoccupations plutôt que de les arrêter, car cela aurait pu nuire au résultat net de Facebook (et de Zuckerberg) », fustige encore le procureur général. Karl Racine appelle la justice à tenir pour responsable Mark Zuckerberg en personne dans la violation des lois américaines sur la protection des données des utilisateurs de Facebook. Le cofondateur de Facebook, dont il est le PDG (membre du conseil d’administration), est citoyen américain résidant à Palo Alto (en Californie). Tandis que le siège social du groupe Meta (Facebook jusqu’en octobre 2021) est situé à Menlo Park, dans le même Etat. « Depuis 2012, Zuckerberg est président du conseil d’administration de Facebook et contrôle environ 60 % des actions avec droit de vote », est-il rappelé.

La responsabilité du PDG est engagée
Selon Forbes, et au moment où nous écrivons ces lignes, « Zuck » est la 15e personne la plus riche du monde avec un patrimoine professionnel de 70,1 milliards de dollars (5). Depuis la création de « TheFacebook » le 4 février 2004 à l’université d’Harvard et le lancement de Facebook le 1er août 2005, l’encore jeune homme – 38 ans depuis le 14 mai 2022 – est le responsable en chef des opérations quotidiennes de Facebook, de sa stratégie produit et de ses pratiques – « y compris les actes et les pratiques énoncés dans la présente plainte ». Lorsqu’il sera entendu à Washington D.C. dans le cadre de cette nouvelle procédure judiciaire, ce ne sera pas la première fois qu’il répondra aux allégations de ce district, comme il a pu le faire aussi devant les agences fédérales (FTC et FCC) ou le Congrès américain.
Si l’affaire « Cambridge Analytica » porte sur l’année 2016, avant d’être révélée en 2018, elle trouve ses origines dès 2013 : en novembre de cette année-là, Aleksandr Kogan – chercheur scientist affilié à l’Université de Cambridge – et son entreprise Global Science Research (GSR) ont lancé une application-tierce sur la plateforme Facebook, appli ludique de quizz baptisée « This is Your Digital Life » et capable de collecter des données personnelles pour générer un profil de personnalité. L’année suivante, le jeune Américain d’origine moldave (36 ans aujourd’hui) a conclu un accord avec Cambridge Analytica – cabinet d’experts-conseils politiques basé à Londres, auprès de candidats américains ou d’ailleurs – pour lui vendre les données recueillies par son application : 87 millions de consommateurs Facebook, dont près de la moitié résidents du district de Washington. « Plutôt que de faire de telles divulgations significatives [sur ces agissements dont ils avaient connaissance, et en violation de leurs propres règles], Facebook et Zuckerberg ont plutôt profité de Kogan et de Cambridge Analytica – utilisant abusivement des données de consommation volées – en vendant des millions de dollars d’espaces publicitaires à Cambridge Analytica et pour les campagnes des candidats à la présidence lors des élections de 2016 », accuse le procureur général Karl Racine. Mark Zuckerberg est même allé jusqu’à prétendre que la vie privée n’est plus une « norme sociale » parce que « les gens se sont vraiment mis à l’aise non seulement (avec le fait) de partager plus d’informations et d’autres types de renseignements, mais aussi de communiquer plus ouvertement et avec plus de monde » (6). La responsabilité et la culpabilité du patron actionnaire de Facebook – maintenant de Meta – ne fait aucun doute, d’après les détails donnés par le procureur : « Au sein de Facebook, Zuckerberg a supervisé directement le développement de produits et les travaux d’ingénierie qui exposaient les données des consommateurs à des abus : Zuckerberg est responsable de la plateforme Facebook et est en mesure d’annuler toute décision prise par l’entreprise. (…) Et, contrairement à ses déclarations publiques, Zuckerberg avait l’intention de trouver un moyen de tirer parti des changements apportés à la plateforme pour amasser plus de données — et donc plus d’argent — pour Facebook ». Le raisonnement est implacable et accablant pour le geek devenu très tôt multimilliardaire. Pour illustrer la responsabilité de « Zuck », Karl Racine cite longuement un de ses e-mails internes – daté celui-là du 19 novembre 2012 – près de dix ans déjà – où le patron conclut : « Le but de la plateforme est de lier l’univers de toutes les applications sociales ensemble afin que nous puissions permettre beaucoup plus de partage et rester toujours le hub social central. Je pense que cela trouve le juste équilibre entre l’ubiquité, la réciprocité et le bénéfice ».

10 ans de mensonges et de tromperies
Cela fait au moins depuis dix ans que Mark Zuckerberg était au courant des « risques » de sa plateforme « ouverte » sur la vie privée des « amis », où les amis de mes amis sont mes amis – «mais il n’a pas agi », alors qu’« il était conscient des risques posés (mais) il a activement ignoré ces risques ». Car le partage de données est au cœur du business model et la principale source de revenus (y compris publicitaire) de Facebook. « En tant que tel, Zuckerberg a participé, dirigé, géré, ou autrement connu – et avait le pouvoir de contrôler – les actions incohérentes de Facebook concernant la vie privée, y compris les pratiques commerciales trompeuses, les fausses déclarations et les ambiguïtés qui contreviennent à la loi sur la protection des consommateurs », conclut le procureur. La parole est maintenant à la défense. @

Charles de Laubier

ZOOM

L’affaire « Facebook » éclate au grand jour en mars 2018
Le scandale «Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur (7). Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie, qui s’est présenté alors comme le lanceur d’alerte de cette affaire (8). Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser a elle aussi fait des révélations (9) qui ont aussi fait l’effet d’une bombe (10). @

L’article 17 de la directive « Copyright » validé, le filtrage des contenus sur Internet peut commencer

Publié le 30 mai 2022 par Charles de Laubier

La Cour de justice européenne (CJUE) a validé le 26 avril 2022 l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique ». Le filtrage des contenus mis en ligne soulève des questions. La liberté d’expression et d’information risque d’être la victime collatérale.

En France, aussitôt après que la Cour de justice de l’Union européenne (CJUE) ait – dans un arrêt du 26 avril 2022 – validé le controversé article 17 sur le filtrage des contenus mis en ligne sur Internet, au nom de la lutte contre le piratage, l’Arcom a publié deux questionnaires pour l’ « évaluation du niveau d’efficacité des mesures de protection des œuvres et des objets protégés » par le droit d’auteur et les droits voisins. L’un s’adresse aux fournisseurs de services de partage de contenus (de YouTube à TikTok en passant par Facebook et Twitter). L’autre s’adresse aux titulaires de droits (de l’audiovisuel à la musique en passant par la radio, les podcasts, la presse écrite, les photos, les illustrations, les livres ou encore les jeux vidéo). Ils ont tous jusqu’au 20 juin 2022 pour y répondre (1).

Le statut juridique et le régime applicable aux câbles sous-marins gagnent à être assouplis

Publié le 16 mai 2022 par Charles de Laubier

Véritable « pont entre les hommes », les réseaux de câbles sous-marins en fibre optique font partie des infrastructures internationales qui se singularisent par leur technicité, leur importance vitale pour l’économie et la sécurité nationale, et leur vulnérabilité. Leur régulation hétérogène s’assouplit. Par Marta Lahuerta Escolano, avocate counsel, Jones Day

D’après l’Union internationale des télécommunications (UIT), le câble sous-marin de communication est « un câble posé dans le fond marin, ou ensouillé à faible profondeur, destiné à acheminer des communications » (1). Les câbles sous-marins utilisent la fibre optique pour transmettre les données à la vitesse de la lumière. Un peu plus de 420 câbles sont enfouis dans les profondeurs des océans à travers le monde (2) et assurent 99 % des communications mondiales via les échanges téléphoniques et l’accès à Internet. Plusieurs problématiques demeurent Malgré la pose du premier câble sous-marin avec succès durant le XIXe siècle, ces infrastructures restent peu connues et plusieurs problématiques demeurent quant à leur statut juridique et au régime régissant leur construction, pose et atterrissement. Un câble sous-marin a vocation à traverser de multiples milieux : terrestre ou maritime, d’une part, et espace cyber ou physique, d’autre part. Cette hétérogénéité d’environnements rencontrés par le réseau de câble sous-marin se matérialise par un encadrement juridique dispersé (3). Le caractère international des câbles sous-marins qui relient souvent plusieurs Etats – à titre illustratif, le câble sous-marin « 2Africa » s’étend sur 45.000 km et a pour but de relier 33 pays – créé des difficultés juridiques à maints niveaux. A la question des droits conférés et obligations imposées aux constructeurs, propriétaires et poseurs de câbles traversant plusieurs Etats, se rajoute celle de la protection de ces infrastructures critiques. L’essentiel du droit international applicable à la pose des câbles sous-marins est issu de la Convention des Nations Unies sur le droit de la mer – Convention de Montego Bay (CMB) du 10 décembre 1982. Elle reprend et complète les dispositions essentielles des conventions de Paris de 1884 sur la protection des câbles sous-marins et de Genève de 1958 sur le droit de la mer. La CMB fournit une division juridique de la mer en plusieurs espaces maritimes, le régime juridique international applicable étant différent dans chacun de ces espaces (4). La mer territoriale (5) fait partie intégrante du territoire souverain des Etats. En conséquence, l’Etat côtier a le droit de légiférer et règlementer la pose de câbles dans cette zone. La pose de câbles sous-marins dans la mer territoriale est souvent soumise à une autorisation administrative de l’autorité compétente pour l’utilisation du domaine public maritime. A tout le moins, les Etats côtiers exigent une demande formelle de pose de câble sous-marin émise par le poseur avec l’assistance du propriétaire du câble sous-marins. Cette autorisation peut également être assortie du paiement d’une taxe ou redevance. Ainsi, en France, la redevance applicable aux câbles sous-marins posés dans les eaux sous souveraineté française est établie par mètre linéaire de câble (6). Au-delà de la mer territoriale, la CMB pose un principe de liberté selon lequel tous les Etats ont le droit de poser des câbles sousmarins sur le plateau continental (7) – fonds marins et leur sous-sol au-delà de la mer territoriale de l’Etat côtier (8) – et dans la zone économique exclusive (ZEE) (9). Cependant, cette liberté reste soumise aux pouvoirs réservés à l’Etat côtier qui peut prendre des mesures raisonnables pour protéger ses îles artificielles, ouvrages et installations déployées dans ces zones ou pour garantir l’exercice de son droit d’exploration et d’exploitation du plateau continental (10). En principe, l’Etat côtier ne devrait pas soumettre la pose de câbles sous-marins à une autorisation dans cette zone. Il peut en revanche demander à ce que le tracé des câbles sousmarins dans cette zone lui soit communiqué. Il pourra ainsi demander sa modification le cas échéant. En conséquence, dans cette zone, la pose de câble est libre en prenant en compte les droits et obligations de l’Etat côtier. La liberté en matière de pose de câbles sous-marins n’est totale qu’en haute mer ou dans les eaux internationales – tout l’espace maritime qui s’étend au-delà de la ZEE et du plateau continental (11) – où tous les Etats, côtiers ou non, ont « la liberté de poser des câbles et des pipelines sous-marins » (12). Droits régional, national et privé Les sources internationales du droit applicable aux câbles sous-marins sont complétées par un ensemble de sources régionales, bilatérales et multilatérales. • Droit régional. Des organismes régionaux se sont intéressés à l’encadrement des câbles sous-marins en formulant des lignes et directives à l’attention de leurs Etats membres. Tel est le cas de la Communauté économique des Etats de l’Afrique de l’Ouest (CEDEAO) qui à travers un règlement de 2012, a adopté un ensemble de règles fixant les conditions d’accès aux stations d’atterrissement des câbles sous-marins (13). Ainsi, en son article 4.1, le règlement impose aux Etats membres d’encourager l’octroi des licences aux nouvelles stations d’atterrissement des câbles sousmarins. Afin de favoriser un accès équitable à la bande passante, les Etats membres doivent veiller, lorsqu’ils attribuent des licences aux opérateurs, à y insérer des dispositions sur l’accès ouvert aux stations d’atterrissement de câbles et sur la mise à disposition de capacités internationales sur une base non discriminatoire (14). Certaines conventions bilatérales et multilatérales organisent également les rapports des Etats en matière de pose de câbles sous-marins. On pourra citer, à titre d’exemple, l’accord conclu en 2009 entre l’Estonie, la Lettonie la Lituanie et la Suède prévoyant la construction d’un câble sous-marin à haute tension sous la mer Baltique. La régulation nationale s’assouplie • Droit national. Les réseaux de câbles sous-marins sont soumis au droit international, mais sont également encadrés par les législations nationales. Dans l’ordre interne, les Etats souverains soumettent la pose, l’atterrissement et l’exploitation des câbles sous-marins à divers régimes juridiques. Les câbles sous-marins sont ainsi régis par divers domaines de droit, en particulier, le droit des communications électroniques (s’agissant de réseaux de communications électroniques), le droit public et immobilier (notamment les règles du domaine public maritime), le droit environnementale (notamment des études l’impact sur l’environnement, le milieu marin ou autre), le droit de la propriété industrielle (droit d’inventeur), le droit de la cybersécurité, le droit de la défense et le droit pénal (dont les sanctions en cas de détérioration du réseau). Ainsi, en France, la pose des câbles sous-marins s’apparente à l’utilisation du domaine public maritime. Or, il résulte de l’article L.2124-3 du code général de la propriété des personnes publiques (CGPPP) que de telles utilisations doivent se faire par le biais de concessions d’utilisation du domaine public (15). Il existe toutefois une procédure permettant d’obtenir de simples autorisations temporaires lorsque le projet de câble n’a pas vocation à être ouvert au public par exemple. En vertu du CGPPP, la demande doit être adressée au préfet maritime du département dans lequel la pose du câble doit s’opérer et, lorsque la demande concerne plusieurs départements, un seul préfet chargé de coordonner l’instruction de la demande sera nommé suivants les dispositions du décret de 2004 relatif aux pouvoirs des préfets (16). Aujourd’hui, les législations nationales en matière de pose de câbles sous-marins s’assouplissent de plus en plus dans le but d’offrir le cadre juridique le plus attractif possible pour favoriser l’implantation de nouveaux câbles sous-marins. Cette tendance s’illustre en France par la circulaire du Secrétaire général de la mer du 13 novembre 2020 (17) qui a pour but de rationaliser les procédures administratives en matière de câbles sous-marins de communication. Cet effort de simplification est très bienvenu pour les porteurs de projets de câbles sous-marins internationaux. La complexité d’un dossier n’est pas seulement technique, les négociations peuvent être longues avec les gouvernements et toutes les parties prenantes. Toute initiative visant à faciliter le déploiement du câble sera prise en considération par les propriétaires de câbles pour définir les points d’atterrissage. • Droit privé. Le propriétaire privé d’un câble sous-marin est souvent une entreprise unique, comme c’est le cas du câble sous-marin Equiano de Google, ou bien un consortium d’entreprises, comme pour les câbles « 2Africa », « Africa-1 » ou « ACE ». Le projets de déploiement de câble sous-marin entraînent une architecture contractuelle assez complexe, à commencer par l’accord de confidentialité, suivi par : le protocole d’accord ou Memorandum of Understanding (MoU) ; le Joint Build Agreement (JBA) régissant les relations entre les différents entités faisant partie d’un consortium ; le contrat de construction et maintenance (C&MA) ; le Joint System Maintenance Document (JSMD) expliquant les aspects techniques et de sécurité du câble sous-marin ; le contrat de construction de la branche ; le contrat d’atterrissement (LPA/LSA) ; les accords de croisements d’autres câbles ou de pipelines préexistants. Quant à la protection des câbles sous-marins, elle résulte d’un régime défini par la Convention internationale relative à la protection des câbles sous-marins signée à Paris en 1884. La CMB (Convention de Montego Bay) reprend certaines de ces dispositions et prévoit notamment l’obligation pour les Etats de sanctionner la détérioration ou la rupture d’un câble (18). Cependant, les mesures de protection prévues dans ces textes ne sont pas suffisantes face aux menaces et à l’importance critique de ces infrastructures. Les câbles sous-marins ont ainsi été des cibles en temps de guerre. La convention de Paris de 1884 laissait une liberté d’action aux belligérants en temps de guerre. Ceux-ci pouvaient alors sectionner des câbles sous-marins. La convention de Paris n’offrait de protection aux câbles sous-marins qu’en dehors des temps de guerre. Cette protection a été reprise par la CMB. Le Comité international de protection des câbles créé en 1958 poursuit cette oeuvre de protection en édictant des recommandations internationales pour l’installation, la protection et la maintenance des câbles. Guerres : renforcer le cadre juridique En août 2014, la Russie a sectionné des câbles sous-marins ukrainiens au cours de l’opération d’annexion de la Crimée. L’intensité du conflit en cours entre l’Ukraine et la Russie et la menace d’une occupation par la Russie d’Odessa, le plus grand port maritime d’Ukraine, fait ressurgir les craintes liées au risque de section des câbles sous-marins. Dans ce contexte, il est essentiel de renforcer le cadre juridique protégeant les câbles sous-marins. L’exercice ne sera pas facile, étant donnée la nature hybride de ces infrastructures qui peuvent être utilisées à des fins tant civiles que militaires. @

Les métavers et la propriété intellectuelle : quelle protection pour les titulaires de marques ?

Publié le 25 avril 2022 par Charles de Laubier

Deux principes fondamentaux régissent, dans le monde réel, le droit des marques : la spécialité et la territorialité. Mais qu’en est-il dans les mondes virtuels à l’ère des métavers ? Entre vide juridique et absence de jurisprudence, les titulaires de ces marques doivent s’y aventurer prudemment.

**Par Véronique Dahan (photo), avocate associée, Joffe & Associés.**

Le métavers – ou metaverse en anglais – est l’une des tendances les plus en vogues depuis la fin de l’année 2021. Cet intérêt soudain pour les espaces virtuels s’est fortement développé suite à l’annonce, faite par Mark Zuckerberg en octobre 2021, du changement de la dénomination du réseau social le plus populaire du monde (2,8 milliards d’utilisateurs mensuels). Facebook est ainsi devenu Meta (1), et le géant américain a promis « de donner vie au métavers et d’aider les gens à se connecter, à trouver des communautés et à développer des entreprises » (2). Principes de spécialité et de territorialité Il est aujourd’hui possible de rattacher un métavers à une blockchain, une chaîne de blocs (voir encadré page suivante). Les métavers fonctionnant grâce elle permettent à leurs utilisateurs de devenir propriétaires de tous les biens virtuels qui y sont créés : parcelles de terrains, bâtiments, œuvres d’art, vêtements, etc. On peut citer comme exemple « The Sandbox Game » qui est un métavers décentralisé fonctionnant sur la blockchain Ethereum et qui offre aux utilisateurs la possibilité de créer, utiliser, acheter ou vendre toute sorte d’items numériques associés chacun à un jeton non-fongible dit NFT (Non-Fungible Token). Ces deux révolutions – métavers et blockchain – sont le signe d’une « hyperconvergence technologique » (3) propice au métavers. Internet bascule d’un web 2.0 purement collaboratif, où les utilisateurs peuvent créer et diffuser du contenu, à un web 3.0 (ou Web3) immersif et appropriable. Ce basculement permet d’affirmer que le métavers n’a jamais été aussi proche du monde réel. C’est la raison pour laquelle divers secteurs économiques – luxe, sport, mode, musique, art, … – s’intéressent aux possibilités offertes par le métavers et construisent leurs projets en conséquence. Les marques investissent d’ores et déjà dans le métavers, à l’image de Nike qui a lancé sont propres métavers sur la plateforme Roblox : Nikeland (4). La plateforme Decentraland a, quant à elle, organisé fin mars 2022 la toute première « Metaverse Fashion Week » (5). L’événement comprenait des défilés, des expositions de pièces de luxe, des concerts, des discussions et toutes sortes d’expériences virtuelles. Les marques prenant part à cet événement dans le métavers ont donc eu l’occasion de présenter leurs produits numériques sous forme de NFT, que les utilisateurs pouvaient acquérir dans le but de vêtir leur avatar de parures uniques et exclusives. Parmi ces marques, les visiteurs ont retrouvé Philipp Plein, Forever 21, Karl Lagarfeld ou encore Vogue & Hype. Beaucoup d’entreprises s’interrogent sur la stratégie à adopter pour protéger leurs marques dans le métavers. Les problématiques juridiques rencontrées dans le monde physique tendent à se transposer au métavers, que ce soit en matière de données personnelles, de droit de la consommation et évidemment de droit de la propriété intellectuelle. A ce jour, il n’existe aucune réglementation propre au métavers. A ce titre, la question de la stratégie à adopter afin d’obtenir une protection optimale de ses marques dans le métavers est cruciale. Le droit des marques est un droit monopolistique, en ce sens que la protection découlant de la marque permet à son titulaire d’évincer tous ses concurrents de l’utilisation à des fins commerciales d’un signe distinctif identique ou similaire. Le droit des marques est régi par deux principes fondamentaux, dont l’extension au monde virtuel peut sembler épineuse : le principe de spécialité, d’une part, et le principe de territorialité, d’autre part. • Est-ce nécessaire de protéger sa marque pour les produits et services liés spécifiquement au métavers ? Le code de la propriété intellectuelle (CPI) dispose que « l’enregistrement de la marque confère à son titulaire un droit de propriété sur cette marque pour les produits ou services qu’il a désignés » (6). En vertu du principe de spécialité, une marque n’est protégée que pour les produits et services visés lors du dépôt (sauf pour les marques de renommées qui bénéficient d’une protection juridique élargie au-delà des produits et services pour lesquels elles ont été enregistrées). Toute la question est donc de savoir si un bien ou un service du monde réel pourrait être considéré comme identique ou similaire à son équivalent virtuel et générer un risque de confusion dans l’esprit du public. Réel et virtuel : risque de confusion De prime abord, nous pourrions penser qu’un bien ou un service réel et son équivalent virtuel sont différents dans la mesure où ils ne rempliraient pas la même fonction. Si nous prenons l’exemple d’un sac : un sac virtuel n’est autre que des données informatiques représentées sur un écran. Il ne remplit pas sa fonction première qui est d’y ranger ses affaires. Toutefois, cette fonction première n’est pas la seule et unique fonction d’un sac. Comme dans le monde réel, le sac acheté dans le métavers, pour des avatars par exemple, le sera pour des considérations esthétiques et pas seulement pratiques, ainsi que pour des considérations d’image. Est-ce qu’en achetant un bien virtuel de telle ou telle marque dans le métavers, le consommateur fera-t-il le lien avec la marque/l’entreprise du monde réel ? La détermination du risque de confusion est évidemment subjective et dépend de chaque cas d’espèce. L’analyse ne se fait pas uniquement au regard des produits et services. Déposer une marque : penser au virtuel L’examen des signes en cause et des produits/services ne se fait pas de façon hermétique : il existe une interdépendance entre ces deux éléments. Ainsi, la faible similitude entre les produits peut être compensée par la haute ressemblance entre les signes, et vice versa. De même, si le signe revêt un caractère distinctif fort ou une certaine notoriété, le risque de confusion est augmenté. Il semble donc qu’une marque pourrait a priori être suffisamment protégée contre des usages dans le métavers, et ce même si elle n’est enregistrée que pour désigner des produits et services « classiques ». Pour éviter tout débat et dans la mesure où il n’y pas encore de jurisprudence en la matière, il est toutefois recommandé aux titulaires de marques de déposer leurs marques en visant également des produits et services liés au métavers : biens virtuels téléchargeables, services de divertissement, à savoir la fourniture de vêtements (…) virtuels en ligne et non téléchargeables, destinés à être utilisés dans des environnements virtuels. • Est-il possible d’assurer la protection territoriale de la marque, produits et services, à l’ère du métavers ? La marque est un droit territorial en ce sens que le monopole que détient le titulaire sur sa marque ne peut être opposé aux tiers que sur le territoire duquel l’enregistrement a été obtenu. Il peut dès lors sembler délicat de concilier le principe de territorialité de la marque avec le métavers. Par définition, le métavers est détaché de tout territoire puisqu’il prend la forme d’un univers à part entière. On peut également estimer que le métavers a un caractère mondial, accessible à des utilisateurs établis aux quatre coins du globe. Se pose alors la question de savoir si une marque enregistrée uniquement en France peut bénéficier d’une protection efficace contre des actes de contrefaçon commis dans le métavers. Le simple accès au métavers par des utilisateurs français permettrait-il de considérer qu’il y a contrefaçon ? La solution qui pourrait être adoptée serait celle communément admise s’agissant des atteintes aux marques sur Internet (7). La jurisprudence a établi la théorie de la focalisation en matière de contrefaçon sur Internet, en vertu de laquelle l’acte de contrefaçon d’une marque française est constitué dès lors qu’un faisceau d’indices permet de démontrer que l’internaute français est la cible du site web étranger (accessibilité du site, utilisation de la langue française, livraison en France, etc.). Toutefois, contrairement aux sites Internet dont il est possible de démontrer qu’ils ont un public ciblé géographiquement, le métavers est quant à lui global, ne faisant pas a priori de différences en fonction de la géolocalisation des utilisateurs. @ FOCUS C’est quoi exactement le métavers et pourquoi un tel engouement ? Contraction des mots « meta » (« au-delà de » en grec ancien) et « univers » (« universum » en latin), le métavers peut se définir comme un monde virtuel dans lequel des individus peuvent se retrouver pour interagir avec d’autres. Il n’existe pas qu’un seul et unique métavers. Les métavers sont innombrables et peuvent prendre des formes diverses et variées en fonction de leur objet. Tandis que certains métavers prennent la forme de jeux vidéo, d’autres apparaissent comme des réseaux sociaux immersifs, ou des environnements virtuels de travail (8). Les plus optimistes imaginent déjà une interopérabilité entre les métavers permettant d’aboutir à un univers virtuel unique. Le début d’année 2022 est particulièrement marqué par l’enthousiasme de nombreux secteurs économiques pour le métavers. Pourtant, l’idée d’un monde parallèle et entièrement dématérialisé n’est pas nouvelle. Les prémices du métavers sont apparues en 1992, dans le roman « Snow Crash » écrit par Neal Stephenson, à une époque où Internet n’était encore qu’un sujet de niche. Visionnaire et précurseur, l’auteur décrit la vie de Hiro, un hacker vivant dans un conteneur qui, pour oublier son quotidien de misère, se plonge dans un univers virtuel haut de gamme : le metaverse. La première matérialisation du métavers surgit au début des années 2000 avec la création du jeu « Second Life » qui, comme son nom l’indique, propose à ses utilisateurs d’avoir une vie parallèle à celle du monde réel (9). Aujourd’hui, il y a aussi « Roblox », « Minecraft » (10) ou encore « GTA Online » que l’on qualifie communément de « sandbox » (bac-àsable), c’est-à-dire des jeux en monde ouvert au sein desquels les joueurs peuvent communiquer, créer et échanger tout type de biens virtuels. L’effervescence actuelle autour du métavers semble être la conséquence de deux révolutions technologiques plus ou moins récentes : les casques de réalité virtuelle et la blockchain. • D’une part, casques de réalité virtuelle, dont la commercialisation auprès du grand public des premiers modèles à partir de 2016, a eu pour effet de changer notre rapport avec le numérique. Le virtuel ne se trouve plus derrière notre écran d’ordinateur ou de portable ; il se vit, se contemple et devient quasi palpable. Le métavers vécu au travers de cette nouvelle technologie prend alors tout son sens. Les casques de réalité virtuelle permettent une immersion pleine et entière dans des environnements textuels riches et en trois dimensions. Le passage du monde physique à un monde immatériel est alors rendu possible. • D’autre part, la technologie blockchain a occasionné le développement d’un phénomène nouveau : la propriété digitale. La blockchain est une technologie de stockage et de transmission d’information. Autrement dit, c’est un registre public et décentralisé permettant d’enregistrer, d’horodater, de conserver et de rendre accessible aux utilisateurs toute information qui y est inscrite (11). La blockchain apparaît donc comme une garantie de l’authenticité d’une information, d’un document ou d’une transaction. @

Edition Multimédi@

Economie numérique et Nouveaux médias

Archives de catégorie : Juridique