Pour la reconnaissance faciale à distance ou locale, les enjeux éthiques ne sont pas les mêmes

Publié le 9 mars 2020 par Charles de Laubier

Identifier un visage dans une foule soulève de sérieuses questions sur les libertés individuelles. Mais il existe de nombreux autres usages de la reconnaissance faciale, notamment la validation d’identité en local. Ces utilisations ont vocation à se développer mais posent d’autres questions éthiques.

Par Winston Maxwell* et David Bounie**, Telecom Paris, Institut polytechnique de Paris

L’utilisation de la reconnaissance faciale pour l’identification à distance constitue une menace pour les libertés individuelles, car cela tend à banaliser une société de surveillance. Selon le New York Times, une start-up américaine Clearview AI a déjà fabriqué des gabarits d’identification de 3 milliards d’individus à partir d’images copiées sur le Web (1). N’importe quelle force de l’ordre – mais pas le grand public (2) – peut utiliser le logiciel de Clearview AI et identifier les visages dans une foule. Cependant, plusieurs villes américaines ont temporairement banni cette utilisation de la technologie par leurs autorités publiques.

A la demande des industries créatives, les Etats-Unis déclarent la guerre à la contrefaçon et au piratage

Publié le 24 février 2020 par Charles de Laubier

La peur va-t-elle changer de camp aux Etats-Unis ? Le président Donald Trump entend donner des gages aux industries créatives en déclarant la guerre à la contrefaçon et au piratage de produits, y compris en ligne. Les plateformes de e-commerce devront coopérer. Mais le risque liberticide existe.

Fabrice Lorvo*, avocat associé, FTPA.

Au commencement de la révolution numérique, les acteurs de l’Internet, par philosophie ou par appât du gain, se sont opposés à toute régulation au nom de la liberté. Cependant, se pose avec persistance l’éternelle question : « Peut-il y avoir de liberté sans contrainte ? ». Dans les faits, le cyberespace est devenu un terreau fertile sur lequel a pu prospérer tant la contrefaçon que la piraterie.

Contrefaçon : plus de 1.000 milliards de $
Le contrefacteur est celui qui vend au public une copie de produits originaux copiés ou imités, alors que le pirate met à la disposition du public, sans autorisation du titulaire des droits, une œuvre ou un événement protégé et en tire un revenu ou un avantage direct de son activité, par exemple par abonnement ou par la publicité. D’un point de vue général, la vente de produits contrefaits et piratés – via des plateformes de commerce électronique et des marchés tiers en ligne – est une entreprise très rentable. En 2018, d’après une étude publiée par Bascap (1) et Frontier Economics (2), le montant des ventes mondiales des produits de contrefaçon était estimé en 2013 entre 710 et 917 milliards de dollars (3), et il est prévu qu’il atteindra 1.000 à 1.220 milliards de dollars d’ici 2022.
Pour les contrefacteurs, les coûts de production sont faibles. Internet permet d’accéder à des millions de clients potentiels. Le processus transactionnel est simple et le référencement sur des plateformes de notoriété internationale confère une apparence de légalité. De plus, les risques sont faibles car les contrefacteurs peuvent être résidents de pays dans lesquels cette activité illégale est peu poursuivie ou peu sanctionnée, que ce soit sur le plan civil ou pénal.
L’industrie numérique est aussi directement touchée. L’étude démontre que le montant des ventes mondiales des produits numériques piratés en 2015 était de 213 milliards de dollars (dont 160 milliards pour les films, 29 milliards pour la musique et 24 milliards pour les logiciels). Il est prévu qu’il atteindra d’ici 2022 entre 384 et 856 milliards de dollars (dont entre 289 et 644 milliards pour les films, entre 42 et 94 milliards pour la musique, et entre 42 et 95 milliards pour les logiciels).
Les réseaux sociaux sont eux-aussi concernés par la prolifération des contrefaçons. Selon un rapport de Ghost Data paru en 2019, près de 20 % des articles analysés sur les produits de mode sur Instagram comportaient des produits contrefaits ou illicites (4). Plus de 50.000 comptes Instagram ont été identifiés comme faisant la promotion et la vente de contrefaçons, une augmentation de 171 % par rapport à 2016. Ce phénomène est notamment justifié par les fonctionnalités proposées par les réseaux sociaux. Sur Instagram, par exemple, la recherche de certains biens est facilitée par l’utilisation des noms des marques de luxe dans les hashtags, les fameux mots-dièse. Les résultats de ces recherches mêlent cependant, à l’insu des utilisateurs, des produits contrefaits et des produits authentiques. Il est donc difficile de les différencier. De plus, la fonctionnalité « Story » d’Instagram est très utilisée par les vendeurs de contrefaçons car le contenu publié disparaît en vingt-quatre heures, ce qui permet de vendre rapidement et de disparaître.
Le 3 avril 2019, le président des Etats-Unis a publié un « Memorandum sur la lutte contre le trafic de marchandises contrefaites et piratées » (5) dans lequel il demandait un rapport faisant des recommandations pour lutter plus efficacement contre le trafic de marchandises contrefaites et piratées, y compris en ligne. Le 10 juillet 2019, le département du Commerce américain (DoC) a publié un appel à contribution (6) pour obtenir du secteur privé – détenteurs de droits de propriété intellectuelle, des plateformes de marchés en ligne et autres parties prenantes – leurs commentaires sur l’état de la contrefaçon et de la piraterie et leurs recommandations pour freiner ledit trafic.

Les exigences des industries culturelles
En août 2019, plusieurs associations professionnelles américaines de l’industrie créatrice – à savoir la MPAA (7), l’IFTA (8), CreativeFuture (9), et le Sag-Aftra (10), ont répondu à cet appel en demandant à l’administration :
• de continuer d’exhorter les plateformes de contenus et les intermédiaires Internet à collaborer avec la communauté créative sur les meilleures pratiques volontaires pour lutter contre la violation du droit d’auteur ;
• d’encourager le département de la Justice (DoJ) à engager des poursuites pénales contre les entités impliquées dans une violation du droit d’auteur en ligne ;
• de persister à faire pression sur l’Icann (11) pour rétablir l’accès aux données « Whois » (12), accès qui serait entravé par une application excessive du RGPD européen, et d’adopter une loi si l’Icann ne parvient pas à le faire rapidement ;
• et d’élever le niveau de protection des droits d’auteur à l’étranger par le biais de négociations commerciales.

Les recommandations du « Homeland Security »
Le 24 janvier 2020, le département de la Sécurité intérieure des Etats-Unis – le « Homeland Security » (DHS) – a remis au président américain Donald Trump un rapport intitulé « Combattre le trafic de produits contrefaits et piratés » (13). Il conclut qu’il est essentiel, pour l’intégrité du commerce électronique et pour la protection des consommateurs et des titulaires de droits, que les plateformes de e-commerce et autres intermédiaires tiers assument un plus grand rôle, et donc une plus grande responsabilité dans la lutte contre le trafic de marchandises contrefaites et piratées. Ce rapport préconise de prendre immédiatement les mesures suivantes :
• S’assurer que les entités ayant des intérêts financiers dans les importations aux Etats-Unis assument une responsabilité. Elles devront apporter un soin raisonnable dans la lutte contre la piraterie. De plus, les entrepôts et les centres de distribution situés aux Etats-Unis seront considérés comme les destinataires finaux pour tout bien qui n’a pas été vendu à un consommateur spécifique au moment de son importation.
• Accroître l’examen du périmètre de l’article 321 (texte qui permet l’admission de produits en franchise de droits si sa valeur n’excède pas 800 dollars) pour obtenir plus d‘informations sur l’identité des tiers vendeurs. A défaut d’information, la responsabilité pèsera sur l’entrepôts ou le centre de distribution présent sur le sol américain.
• Lutter contre les acteurs de la fraude. Pour les acteurs directs, en excluant les récidivistes de la piraterie de toute participation aux marchés publics américains et/ou de pouvoir obtenir un numéro d’importateur pour les Etats-Unis. Pour les acteurs indirects, en adoptant des mesures de non-conformité dans l’utilisation du courrier international et en agissant contre les postes internationales qui ne les respecteraient pas.
• Renforcer la responsabilité des intermédiaires, dont les plateformes Internet, en appliquant des sanctions (amendes civiles, pénalités et injonctions), dès lors qu’il est prouvé qu’ils ont illégalement participé à l’importation de produits contrefaits.
• Améliorer la collecte des données concernant l’arrivée des produits contrefaits aux Etats-Unis par l’intermédiaire du courrier international.
• Créer un « Consortium anti-contrefaçon pour identifier les acteurs en ligne néfastes », et ce, en collectant les données auprès des acteurs tiers (plateformes, intermédiaires tiers ainsi que les transporteurs, expéditeurs, moteurs de recherche et centres de paiement en ligne). Ces données permettront de créer une technique d’automatisation des risques pour surveiller les plateformes et ainsi identifier les produits contrefaits.
• Augmenter les ressources de l’administration pour surveiller les envois (estimés 500 millions annuellement) par courrier international. Cela permettra, d’une part, de détecter les produits contrefaits, et, d’autre part, d’accroître la collecte des données sur ce type de transaction pour en améliorer la détection.
• Créer un cadre effectif moderne pour le commerce électronique qui pourrait prévoir des immunités pour les plateformes en échange d’un contrôle interne suffisant et de la communication d’informations aux autorités américaines.
• Evaluer, notamment avec le secteur privé, le cadre de la responsabilité des plateformes de e-commerce en cas de contrefaçon par fourniture de moyens.
• Réexaminer le cadre légal entourant les importateurs non-résidents (et notamment leurs agents résidents aux Etats-Unis).
• Etablir une campagne nationale de sensibilisation des consommateurs concernant les risques de contrefaçon (risques directs en cas de produits dangereux et risques indirects en cas, par exemple, de financement du terrorisme), ainsi que les différentes façons dont ils peuvent repérer les produits contrefaits.

En conclusion, le gouvernement américain déclare la guerre à la contrefaçon et à la piraterie et appelle à la mobilisation générale, tant des institutions politiques américaines, des acteurs tiers – dont les plateformes Internet – que des consommateurs situés aux Etats-Unis. Il conviendra de suivre la manière dont ces recommandations vont trouver une transcription dans la législation américaine.

L’Europe devrait avoir son mot à dire
Deux dangers doivent être conservés à l’esprit. D’une part, que la législation américaine devienne le standard international auquel devront se soumettre directement ou indirectement les opérateurs européens : dans cette perspective, une contribution de l’Europe à ce débat s’impose. D’autre part, qu’au nom de la protection du commerce et des consommateurs un vaste plan de collecte de données et de surveillance va probablement être mis en place. Il faudra garder à l’esprit que les modalités techniques de protection de la liberté peuvent aboutir, si l’on y prend garde, à l’anéantissement des libertés fondamentales. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Avec le « RGPD » californien, les GAFAM garderont le pouvoir en 2020 sur les données personnelles

Publié le 10 février 2020 par Charles de Laubier

Le partage des données des consommateurs avec les entreprises s’est généralisé en dix ans. Or le droit californien n’avait pas suivi cette évolution, laissant aux entreprises de la Silicon Valley la liberté d’exploiter la vie privée des individus sans contrainte. Ce que change partiellement le CCPA.

Dans le sillage du règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Cette loi applicable dans l’Etat américain le plus peuplé des Cinquante vient renforcer le contrôle des consommateurs californiens sur leurs données personnelles en leur octroyant de nouveaux droits. Et ce, afin de leur permettre de reprendre le contrôle de leurs vies privées.

Droit local d’inspiration populaire
A la suite du scandale Cambridge Analytica et de la fuite massive de données d’Equifax, concernant 143 millions de personnes, soit près de la moitié de la population américaine (1), a été formulée en 2018 une proposition de loi d’initiative populaire visant à protéger les données personnelles des Américains. Deux militants pour la protection de la vie privée, issus de la société civile, l’homme d’affaires Alastair Mactaggart et une juriste spécialiste de droit à la protection de la vie privée, Mary Stone Ross, ont rédigé dès 2017 un projet de loi sous le nom de California Consumer Privacy Act (CCPA) soumis aux électeurs californiens par la voie pétitionnaire (2). Le droit californien permet en effet aux citoyens de cet Etat de faire adopter des textes législatifs ou de provoquer un référendum au niveau local en recueillant 366.000 signatures. Le CCPA a recueilli 600.000 signatures, révélant par là une véritable volonté des Californiens de reprendre le contrôle de leurs vies privées et d’empêcher les intrusions répétées des GAFAM dont ils ont été victimes ces dernières années.
Mise sous pression, la Silicon Valley – dont la collecte des données personnelles est le fer de lance de son modèle économique – a milité auprès des chambres législatives californiennes pour que ces dernières concluent un accord avec les promoteurs du texte et que soit évité un référendum. Le 28 juin 2018, et après moins d’une semaine de débat, la loi initialement proposée a alors été adoptée par le législateur californien sous une version plus timorée que le projet initial. Le texte continue cependant à se heurter à la résistance des entreprises de nouvelles technologies qui militent pour l’adoption d’un texte fédéral moins contraignant. En effet, des lois prises par le Congrès à Washington s’imposeraient sur le droit des Etats fédérés et empêcheraient le CCAP de s’appliquer. Dans le sillage du CCPA, d’autres projets de loi se sont faits jour au niveau fédéral visant à réglementer la collecte des données personnelles des citoyens américains. Certaines propositions sont spécifiques et visent uniquement les données transmises via les réseaux sociaux. D’autres projets sont plus ambitieux dans leur champ d’application et cherchent à imposer un traitement loyal, équitable et non discriminatoire aux responsables de traitements, à l’instar du RGPD. Si aucun de ces projets n’a l’ambition portée par le texte européen, ils s’en inspirent dans la forme et constitueraient néanmoins une avancée considérable dans la conquête des droits des internautes quant au respect de leurs vies privées. Le CCPA intégré dans le Code civil de Californie (3) s’applique à toutes les informations à caractère personnel collectées, électroniquement ou non, auprès de consommateurs.
Les consommateurs sont définis comme des personnes physiques résidant en Californie, ce qui confère un champ d’application aux bénéficiaires du texte aussi large que le RGPD. La loi californienne s’applique donc très largement et pas seulement aux données collectées sur Internet. Toutefois, de façon plus pragmatique que le RGPD, les assujettis du CCPA sont uniquement des entreprises d’envergure. Ces dernières doivent en effet réaliser un chiffre d’affaires annuel supérieur à 25 millions de dollars, ou acheter, vendre ou partager à des fins commerciales des informations personnelles de plus de 50.000 consommateurs, ou encore obtenir plus de 50 % de leurs revenus annuels de la vente d’informations personnelles du consommateur.

Champ d’application du CCPA
Ainsi, les associations comme les petites et moyennes entreprises ne sont pas concernées par le texte. Les pouvoirs publics peuvent également continuer à collecter les données personnelles des individus sans que ceux-ci puissent s’y opposer, même s’il est prévu que les données issues de ces traitements et réutilisées pour d’autres finalités sont des informations sur lesquels les citoyens californiens pourront exercer les droits prévus par le texte. Le texte de loi californien vise les informations à caractère personnel comme les noms, les adresses, le numéro de sécurité sociale, les adresses IP, les renseignements commerciaux (registre de la publicité foncière, historique de crédit, …), les informations biométriques, les historiques de navigation, les données de géolocalisation, les informations audio, électroniques, visuelles, thermiques, olfactives, les informations professionnelles ou liées à l’emploi, ou encore les informations sur l’éducation. Sont également concernées toutes déductions tirées de ces différentes informations afin de créer un profil. Toutefois, un certain nombre de domaines sont exclus du champ d’application de la loi. Il en va ainsi du domaine financier, des agences de notation des consommateurs ou encore des informations visant les conducteurs.

Droits nouveaux pour les Californiens
Pâle copie du RGPD, le CCPA impose des obligations aux entités assujetties et des droits aux citoyens bénéficiaires. L’entreprise qui collecte des données doit informer le consommateur californien sur les catégories de données collectées, les sources auprès desquelles les données sont collectées, les finalités de la collecte et les catégories de tiers avec lesquelles l’entreprise partage les données. Les consommateurs doivent pouvoir exercer leurs droits dans des conditions faciles et gratuites : description du droit d’accès, du droit à l’effacement, du droit à l’égal accès aux services, description des méthodes pour présenter les requêtes. La loi californienne donne aussi aux consommateurs la possibilité de refuser la vente de leurs informations personnelles à des tiers, obligeant les entreprises concernées à publier un lien clair et visible intitulé « Ne pas vendre mes informations personnelles » sur leur site web national ou leur page spécifique à la Californie.
Un consommateur a le droit de demander à une entreprise de supprimer toute information personnelle le concernant que l’entreprise a collectée auprès de lui, et l’entreprise doit répercuter la demande auprès de ses sous-traitants. Toutefois, l’entreprise peut refuser cet effacement pour des raisons légitimes telles que l’exécution du contrat conclu entre l’entreprise et le consommateur. Enfin, la loi californienne confère le droit à un égal accès aux services, interdisant en principe toute discrimination à l’encontre des consommateurs qui exercent leurs droits en vertu de la loi. Les entreprises peuvent cependant être autorisées à appliquer des tarifs différents ou à fournir différents niveaux de service, si ces différences sont en lien raisonnable avec la « valeur fournie au consommateur par les données du consommateur », conférant un droit à la discrimination. Enfin, et à la grande différence du RGPD, les entreprises peuvent proposer des incitations financières – notamment des paiements aux consommateurs à titre de compensation – pour la collecte de leurs données personnelles. Cette option, pour laquelle de nombreux think tank militent en Europe, est à ce stade exclu par l’Union européenne pour qui les données personnelles sont des droits extrapatrimoniaux, incessibles. En cas de non-respect du CCPA, une amende de 2.500 dollars par violation, et de 7.500 dollars si la violation est intentionnelle, est infligée. Ce qui est peu, au regard du chiffre d’affaires des entreprises visées par le texte. Néanmoins, la loi californienne prévoit des dommages et intérêts dans le cadre d’une action intentée par un consommateur, compris entre 100 et 700 dollars par infraction et par consommateur, ce qui peut s’avérer important à l’aune du système de la class action. La procédure des actions collectives, bien éprouvée aux Etats-Unis, devrait en effet pouvoir contraindre les entreprises à respecter cette nouvelle loi, moins pour la sanction financière que pour la mauvaise publicité que représenterait une sanction prononcée à la demande de centaines de milliers de plaignants. A noter qu’en Europe, la commission des Affaires juridiques (JURI) a confirmé en janvier dernier (4) la position de négociation du Parlement européen sur une nouvelle législation introduisant des règles de recours collectif (5). En France, l’action de groupe a été introduite par la loi du 17 mars 2014 sur la consommation (loi dite « Hamon »).
Si le CCPA est timide au regard de l’enjeu que représentent les données personnelles pour les entreprises du numérique, il marque néanmoins un réel progrès quant à la protection des droits des données personnelles des citoyens californiens. Déjà, cette initiative a conduit d’autres Etats à réfléchir à une législation dans ce sens, et une loi fédérale devra inévitablement voir le jour pour éviter des législations disparates au sein d’un même pays. Dans le même temps, le parti communiste chinois a annoncé vouloir protéger les données personnelles de ses citoyens.

Vers des règles internationales unifiées
La collecte des données personnelles représente l’or noir du XXIe siècle et constitue un outil de concurrence majeur au sein du commerce international. Les législations nationales ne manqueront donc pas de s’affronter afin de contraindre les entreprises extérieures à limiter leur pouvoir d’intrusion de la vie privée de leurs citoyens tout en cherchant à poursuivre cette conquête des données, outil indispensable de la compétitivité économique. A moins qu’en guise d’apaisement, le G20 qui se tiendra à Riyad en novembre 2020 mette à son ordre du jour la recherche de règles internationales unifiées, seuls moyens de réguler la tentation intrusive des GAFAM. @

* Alexandre Lazarègue est avocat au Barreau de Paris,
spécialisé en droit du numérique.

Haine sur Internet : la loi Avia veut lutter
contre un fléau sans « privatiser la censure »

Publié le 27 janvier 2020 par Charles de Laubier

Le marathon parlementaire de la future loi « Avia » contre la haine sur Internet n’en finit pas. Rédigé à la va-vite, le texte est controversé. Le délai de retrait de 24 heures – disposition supprimée puis réintégrée (délai ramené à 1 heure dans certains cas) – illustre la valse-hésitation du législateur.

Par Rémy Fekete, avocat associé, cabinet Jones Day

C’était il y a 37 ans… Dans « L’ère du vide » (1), Gilles Lipovetsky s’essayait déjà à analyser jusqu’où l’individualisme emmenait la société contemporaine, à force de tout tourner en dérision, de mettre fin à toute hiérarchie, vers une ère postmoderne. Ce postmodernisme se traduisait selon l’auteur, par une forme d’épuisement des valeurs collectives, de réduction de la violence physique, et globalement une ère de bien-pensance dans laquelle l’engagement laissait place à la tolérance.

Les plateformes numériques sont-elles parties pour un grand chelem de sanctions ?

Publié le 13 janvier 2020 par Charles de Laubier

Les géants du Net sont pris entre deux feux principaux : le droit de la concurrence, d’une part, et la protection des données, d’autre part. Mais ces deux référentiels juridiques s’entremêlent de plus en plus et se démultiplient, au risque d’aboutir à des doubles sanctions. Ce que l’Europe assume.

Par Olivier de Courcel, avocat associé, cabinet Féral-Schuhl/Sainte-Marie

Alors que les textes de référence s’accumulent, de même que les procédures de contrôle et les sanctions (aux amendes toujours plus élevées), la mise en conformité (compliance) devient comme un grand chelem pour les plateformes numériques. Les procédures se multiplient: aux Etats-Unis, 5 milliards de dollars imposés à Facebook par la FTC américaine en juillet 2019, contrôle en cours par le DoJ sur les GAFA, enquête préliminaire conjointe de 48 Etats fédérés ; en Europe, amende de 2 millions d’euros en Allemagne pour le manque de transparence de Facebook sur les contenus illicites (1), enquête préliminaire lancée par la Commission européenne sur la collecte et l’utilisation des données des utilisateurs de Google (2), contrôle en cours par la « Cnil » irlandaise sur les ventes aux enchères d’espaces publicitaires de Google, pré-rapport de l’autorité de la concurrence britannique (CMA) sur les plateformes (3), etc…

Edition Multimédi@

Economie numérique et Nouveaux médias

Archives de catégorie : Juridique