Archives par mot-clé : Etats-Unis

Google : Amit Mehta, le juge du « procès du siècle »

Publié le par

En fait. Le 12 septembre s’est ouvert à Washington « le procès du siècle », selon l’expression utilisée par The American Prospect pour désigner l’affaire « United States versus Google ». Choisi au hasard pour présider ce procès : le juge Amit P. Mehta. Cet Indo-américain pourrait démanteler la filiale d’Alphabet.

En clair. Avec ses 90 % de parts de marché, Google est ainsi accusé – depuis trois ans (1) par le département américain de la Justice (DoJ) – d’abus de position dominante et de constitution de monopole. Ironie de l’histoire, c’est ce juge Indo-américain – Amit Mehta, né en 1971 à Patan en Inde – qui fait face à cet autre Indo-américain, patron d’Alphabet et de sa filiale Google – Sundar Pichai, né en 1972 à Madurai, en Inde également.
Amit Mehta préside ce « procès du siècle », comme l’appelle le magazine The American Prospect (2). Cet avocat a été nommé en décembre 2014 juge du district de Columbia (3) par Barack Obama et en juin 2021 membre de la Cour de surveillance du renseignement étranger des Etats-Unis (FISA Court).
Pour présider cette affaire « United States v. Google » qui est jugée depuis le 12 septembre à Washington, le juge Amit Mehta a été désigné au hasard. Ce procès historique hors norme – 150 personnes entendues et plus de 5 millions de pages de dossiers – devrait durer trois mois. Cet amateur de musique hip-hop préside par ailleurs les procès liés à l’attaque du Capitole de janvier 2021, où Donald Trump est parmi les accusés. Si le moteur de recherche Google – créé il y a maintenant 25 ans (4) – est vraiment le meilleur par rapport à ses concurrents (Bing de Microsoft, Firefox de Mozilla, Duck DuckGo, …), Amit Mehta se demande – depuis le début de l’instruction antitrust en 2020 – pourquoi la société Google a-t-elle payé des milliards de dollars – notamment à Apple jusqu’à 20 milliards de dollars par an – pour en faire le moteur de recherche par défaut ? N’était-ce pas pour évincer la concurrence ? Les sommes versées pour cette exclusivité qui ne dit pas son nom seraient colossales puisque la justice américaine (DoJ) avait estimé en 2020 qu’elles pourraient représenter environ 15 % du chiffre d’affaires de la marque à la pomme (5). Le juge Amit Mehta reproche à Google d’accorder des ristournes publicitaires aux fabricants de smartphones, non seulement sous iOS (Apple) mais aussi sous Android (Samsung, Huawei, Sony, …) lorsque ces derniers proposent par défaut son moteur de recherche aux mobinautes.
En août dernier, Amit Mehta a laissé tomber un pan de l’affaire, celui de l’auto-référencement par Google de ses propres services au détriment d’autres concurrents tels que Yelp (avis locaux) ou Expedia (agrégateur de voyages). @

Les majors Universal Music, Sony Music et Warner Music négocient avec les éditeurs d’IA musicales

Publié le par

Google et sa filiale YouTube négocient avec Universal Music l’autorisation d’utiliser pour son IA musical, MusicML, les données de la première « maison de disques ». Les autres majors, Warner Music et Sony Music, devront aussi trouver des accords. C’est plus une opportunité qu’une menace.

Le 21 août, YouTube a annoncé un accord avec Universal Music autour de l’IA musicale. Le Financial Times avait par ailleurs révélé le 9 août que sa maison mère Google et la première major mondiale de la musique enregistrée étaient en pourparlers pour autoriser que les mélodies et les voix des artistes soient exploitées par l’intelligence artificielle MusicLM (développée par Google) afin que celle-ci puisse créer de nouvelles chansons. Si ces négociations devaient aboutir, un accord de ce type serait une première pour l’industrie musicale qui, jusqu’à maintenant, voient plus ces IA génératives de musiques comme une menace pour elle.

Accords avec Google et YouTube
Quel est l’impact de l’IA générative sur l’industrie musicale ? « Imaginez que quelqu’un vole tout ce qui a de la valeur à une entreprise et l’utilise pour lancer une entreprise pour lui faire concurrence. C’est exactement ce qui se passe avec beaucoup de grands modèles d’IA d’apprentissage automatique qui existent aujourd’hui. Il s’agit d’une concurrence déloyale classique. (…) Il y a un besoin urgent de “code de la route” approprié pour l’IA générative et nous vous encourageons à agir de manière décisive et sans délai », a déclaré le 12 juillet dernier Jeffrey Harleston (photo), directeur juridique et vice-président exécutif pour les affaires commerciales et juridiques d’Universal Music. Il était auditionné au Sénat américain par le sous-comité de la commission judiciaire du Sénat, sur le thème de « l’intelligence artificielle et la propriété intellectuelle » (1).
Que vous disent les artistes au sujet de leurs voix et de la musique utilisées sans leur consentement par des IA musicales ? « Les artistes sont naturellement bouleversés que leur nom, image, ressemblance ou voix soient volés et utilisés pour suggérer qu’ils ont dit, chanté, ou fait quelque chose qu’ils n’ont jamais fait, a-t-il répondu aux sénateurs qui l’auditionnaient. C’est une violation horrible de la vie privée, et comme cela pourrait nuire à la réputation de l’artiste, cela pourrait irrémédiablement nuire à leur carrière. La voix et la personnalité d’un artiste sont leur gagne-pain et les voler – peu importe le moyen – est mal ». Il a appelé les Etats-Unis à procéder à des modifications législatives pour assurer un développement éthique de l’IA, notamment musicale. Le directeur juridique d’Universal Music avance trois points pour une future « loi pérenne sur le droit d’auteur afin de s’assurer qu’elle résiste à une IA en constante évolution technologie » : édicter une loi fédérale sur le droit de publicité [ou droit à l’image, ndlr] pour assurer la protection de la propriété intellectuelle d’un nom, d’une image, d’une ressemblance ou d’une voix ; assurer la transparence des éléments d’apprentissage de l’IA et permettre au titulaire du droit de pouvoir consulter les enregistrements détaillés des entrées d’apprentissage, sans avoir à s’engager dans un litige ; exiger l’étiquetage des oeuvres essentiellement générées par l’IA. Mais sans attendre que le Congrès américain s’empare du sujet, Universal Music cherche à trouver un terrain d’entente avec les éditeurs d’IA générative, tout du moins avec Google qui l’a approché.
La filiale d’Alphabet est aussi entrée en contact avec Warner Music. Il ne resterait plus qu’à discuter avec Sony Music pour faire le tour des trois grandes majors de la musique enregistrée. Rappelons qu’en septembre 2016, le laboratoire Sony CSL (2) avec fait sensation sur YouTube en diffusant une « nouvelle musique » des Beatles baptisée « Daddy’s Car » (3) et créée par l’IA Flow Machines du japonais (4), les Beatles faisant partie du répertoire… d’Universal Music. La n°1 des majors – au siège social situé aux Pays-Bas mais ayant son siège opérationnel basé à Santa Monica en Californie – adhère en outre aux sept principes édictés par le groupe Human Artistry Campaign (5) lancé en début d’année. Il s’agit de défendre les droits des créateurs dans le développement des technologies d’IA.
Pour l’heure, Alphabet avance à grand pas dans la musique générée par l’intelligence artificielle : tant du côté de Google qui a présenté le 26 janvier sa propre IA musicale baptisée MusicLM (6) que du côté de YouTube qui a lancé le 21 août un incubateur d’IA musicale avec des artistes, des auteurscompositeurs et des producteurs d’Universal Music (7).

MusicLM (Google), une IA hi-fi
Google présente MusicLM comme « un modèle générant une musique haute-fidélité à partir de descriptions textuelles ou d’une mélodie fredonnées ». Cette IA génère de la musique à 24 kHz qui reste cohérente sur plusieurs minutes. Et la filiale d’Alphabet d’affirmer : « Nos expériences montrent que MusicLM surpasse les systèmes précédents en termes de qualité audio et d’adhésion à la description du texte » (8). Mais cette IA musicale prometteuse n’a pas encore été rendue accessible au grand public, le géant du Net ayant la prudence de demander l’autorisation des plus grandes maisons de disques pour ne pas être accusé de contrefaçon et de spoliation des artistes. Seuls de nombreux exemples de bandes sonores générées par MusicML ont été mis en ligne.

Meta se met en trois avec Audiocraft
Google n’est pas le seul à s’aventurer sur le terrain du « text-to-music » puisque Meta a mis en logiciel libre (open source) son modèle de langage capable de générer des extraits musicaux, MusicGen. Meta (ex-groupe Facebook), qui avait présenté mi-juin dernier MusicGen comme étant légèrement supérieures à MusicLM en termes de performances, a présenté le 3 août sa panoplie IA appelée Audiocraft, composée non seulement de MusicGen, mais aussi d’AudioGen et d’EnCodec. « MusicGen, qui a été formé avec de la musique appartenant à Meta et spécifiquement sous licence, génère de la musique à partir d’entrées utilisateur textuelles, tandis qu’AudioGen, qui a été formé aux effets sonores publics, génère de l’audio à partir d’entrées utilisateur textuelles. Aujourd’hui, nous sommes ravis de publier une version améliorée de notre décodeur EnCodec, qui permet une génération de musique de meilleure qualité avec moins d’artefacts », explique Meta dans sa présentation. Les trois modèles de la suite Audiocraft sont disponibles à des fins de recherche, destinés aux chercheurs et aux praticiens. Cette ouverture devrait accélérer le développement de l’IA générative pour l’audio, lequel a pris du retard par rapport aux IA générative pour les images, la vidéo et le texte (ChatGPT, Midjourney, Bard, Dall·E 2, LLaMA, Stability AI, …). « Générer de l’audio hautefidélité de toute sorte nécessite la modélisation de signaux et de motifs complexes à différentes échelles. La musique est sans doute le type d’audio le plus difficile à générer car elle est composée de modèles locaux et de longue portée, d’une suite de notes à une structure musicale globale avec plusieurs instruments », fait remarquer la firme de Mark Zuckerberg (9).
Mais le tout-en-un proposé en open source par AudioCraft, pour la musique, le son, la compression et la génération, vise à faciliter l’innovation et la créativité musicales (composition, chanson, bande sonore, …), sans avoir à jouer une seule note sur un instrument. Meta estime même que « MusicGen peut se transformer en un nouveau type d’instrument – tout comme les synthétiseurs lors de leur apparition » (10). MusicGen a été formé sur environ 400.000 enregistrements avec descriptions textuelles et métadonnées, ce qui représente 20.000 heures de musique appartenant à Meta ou sous accords de licence. Pour l’heure, Meta ne fait état d’aucune négociation avec l’industrie musicale et encore moins avec les majors avec lesquels Google a, au contraire, pris langue. « Si vous voyez un exemple de musique UMG [Universal Music Group, ndlr] distribuée illégalement, n’hésitez pas à nous contacter à contentprotection@umusic.com », signale sur son site web (11) la première major dirigée par Lucian Grainge (photo ci-contre). C’est ce qu’on dû peut-être faire les deux artistes Drake et The Weeknd, produits par Universal Music, lorsqu’ils ont constaté en avril dernier qu’un « artiste » surnommé « Ghostwriter » (compositeur fantôme) a mis en ligne une musique avec voix s’inspirant de leur style musical. Les fichiers audio et vidéo de ce morceau de 2 minutes et 14 secondes ont été diffusés avec succès sur plusieurs plateformes de streaming musical (Spotify, YouTube/YouTube Music, Apple Music, TikTok, …), avant d’en être retirés après quelques jours. Un spécialiste américain estime que le morceau pourrait avoir été créé et promu à des fins de marketing viral par une start-up californienne Laylo (12), laquelle travaille avec des artistes musicaux et compte parmi ses investisseurs… Sony Music. Bien d’autres artistes musicaux ont été imités par des IA génératives à tendance mélomane. La chanteuse barbadienne Rihanna (signée elle aussi chez UMG) s’est par exemple étonnée au printemps de s’entendre chanter « Cuff It » de Beyoncé, via une « IA Rihanna » (13).
Le rappeur Ye (ex-Kanye West, ayant son propre label Good Music) n’a pas non plus été épargné par la déferlante IA musicale, avec les musiques « Hey There Delilah » de Plain White T’s et « Passionfruit » de Drake. Angèle, elle, s’est vue en août chanter en duo avec Gazo (14) sans son consentement. Les IA musicales Flow Machines, MusicGen, AudioGen, MusicLM, Riffusion ou encore Mubert n’ont pas fini de surprendre. Jeffrey Harleston compte sur les Etats-Unis pour résorber leur retard dans la réglementation de l’IA générative.

Les Etats-Unis derrière la Chine et l’UE
A la suite des auditions de cet été, le Congrès américain devrait légiférer sur l’IA d’ici la fin de l’année. A l’instar de la Chine (15), l’Union européenne (UE) a pris de l’avance dans l’élaboration de son « AI Act » qui est entré mi-juin en phase de discussion législative entre le Parlement européen et le Conseil de l’UE. « Les systèmes d’IA générative comme ChatGPT doivent mentionner que le contenu a été généré par une IA. (…) Des résumés détaillés des données protégées par le droit d’auteur utilisées pour la formation des IA devront également être rendus publics », prévoit le projet de règlement européen sur l’IA (16). Les IA génératives vont devoir s’accorder. @

Charles de Laubier

La banque centrale américaine, la Fed, met des bâtons dans les cryptos pour préserver le dollar

Publié le par

A peine le géant du e-paiement PayPal avait-il annoncé le 7 août sa cryptomonnaie indexée sur le dollar, baptisée « PayPal USD », que la banque centrale des Etats-Unis – la Federal Reserve (Fed) – publiait le lendemain un avertissement à l’attention du secteur bancaire américain.

Il ne s’agit pas, du point de vue des Etats- Unis, de déstabiliser le sacro-saint dollar américain, qui est devenu depuis la Seconde-Guerre mondiale (1) la plus importante monnaie de réserve internationale, après avoir détrôné la livre sterling britannique. Le dollar est la monnaie la plus utilisée dans le monde. Or dès qu’une monnaie ou une devise – et à plus forte raison une cryptomonnaie – menace la suprématie du billet vert, la Fed (Federal Reserve) voit rouge.

La Fed freine les cryptos et lance FedNow
D’où ses mises en garde aux émetteurs de monnaies numériques, y compris celles adossées au dollar. C’est ainsi que la banque centrale américaine (2) a publié le 8 août – soit le lendemain de l’annonce par PayPal de sa propre cryptomonnaie indexée sur le dollar et baptisée « PayPal USD » – un avertissement aux banques des 50 Etats membres, du moins à celles « qui cherchent à s’engager dans certaines activités impliquant des jetons en dollars ». La Fed, présidée par Jerome Powell (photo), a rappelé que le Federal Reserve Act (3) permet au conseil des gouverneurs de la Fed d’exercer son « pouvoir discrétionnaire » pour « limiter les banques d’Etat membres et leurs filiales à n’exercer, en tant que mandant, que les activités qui sont autorisées pour les banques nationales ».
Pour les transactions avec des jetons en dollars (dollar tokens) rendues possibles – comme pour toutes les cryptomonnaies – par la blockchain, ce que la Fed appelle « la technologie du grand livre distribué [distributed ledger] ou des technologies similaires », elles sont possibles mais à une condition : que la banque ait obtenu l’autorisation après avoir démontré au Bureau du contrôleur de la monnaie (OCC) et aux superviseurs qu’elle a mis en place « des contrôles pour mener l’activité de manière sûre et saine ». Autrement dit, pour peu qu’elles aient le feu vert de la Fed, les banques américaines peuvent « effectuer des activités de paiement à titre principal, notamment en émettant, détenant ou effectuant des transactions de jetons en dollars », ce que l’OCC appelle des « stablecoin » (cryptos adossées à une monnaie plus stable comme le dollar ou l’euro). Même pour tester un dollar token, une autorisation écrite dite de « non-objection prudentielle » est aussi nécessaire. Les Etats-Unis ont en fait tendance à voir l’émergence de ces « stablecoin » comme une menace potentielle pour la stabilité financière du pays voire du monde et un risque d’atteinte à sa souveraineté monétaire. Dans sa « lettre de supervision et de régulation » (4), la Fed oblige les banques à éviter « les risques opérationnels » (gouvernance, surveillance du réseau, …), « les risques de cybersécurité » (smart contracts, codes open source, …), « les risques de liquidité » (rachats importants, sorties rapides de dépôts, …), « les risques financiers illicites » (secret bancaire, identité d’un client, activités suspectes, …), « les risques liés à la conformité des consommateurs » (identification, protection des consommateurs, …). La Fed entend ainsi maintenir la pression sur les banques qui doivent plus que jamais montrer pattes blanches en matière de cryptomonnaies, stablecoins compris. La Réserve fédérale, à la fois juge et partie, n’a-t-elle pas lancé le 20 juillet dernier FedNow (5), un service de e-paiement instantané à bas coût proposé à leurs clients par déjà 35 banques et organismes de crédit ? Certains y voient une volonté de la Fed de rendre obsolètes les cryptomonnaies (6).
Ce n’est pas un hasard si le rappel à la loi fédérale a été émis juste après l’annonce du PayPal USD (PYUSD), la veille. Le géant du e-paiement a lancé le 7 août son stablecoin qui est « entièrement adossé aux dépôts en dollars américains, aux bons du Trésor américain à court terme et aux équivalents de trésorerie similaires, et peut être échangé 1:1 contre des dollars américains ». PayPal estime que « les stablecoins réglementés et entièrement adossés ont le potentiel de transformer les paiements dans les environnements web3 et numériques natifs ». Et le PDG de PayPal, Dan Schulman, d’affirmer : « La transition vers les monnaies numériques nécessite un instrument stable qui est à la fois numérique et facilement connecté à la monnaie fiduciaire comme le dollar américain ».

PayPal vise le monde, Worldcoin aussi
PayPal USD est émis en tant que jeton numérique ERC- 20 sur la blockchain Ethereum par Paxos Trust Company (ex-itBit), une fintech newyorkaise pionnière de la blockchain et du bitcoin. PayPal a obtenu de la part du l’Etat de New York en juin 2022 la licence BitLicense validant la sécurité de ses investissements dans les cryptos. Pendant ce tempslà, le 24 juillet, la version bêta de la cryptomonnaie Worldcoin (WLD), cocréée par le fondateur d’OpenAI/ChatGPT, Sam Altman, a été lancée (7). Face à cette « bitconnisation » de la finance, les banques centrales du monde entier et les régulateurs ne sont pas au bout de leurs peines. @

Charles de Laubier

La 6G n’attend plus que sa feuille de route 2030

Publié le par

En fait. Le 20 juin, la Commission européenne et le Haut représentant de la diplomatie de l’UE ont présenté ensemble la « stratégie européenne de sécurité économique ». Parmi les technologies à promouvoir pour préserver la « souveraineté » européenne : la 6G, face à la Chine qui n’est pas mentionnée.

En clair. Ursula von der Leyen, présidente de la Commission européenne, et Josep Borrell, chef de la diplomatie de l’Union européenne (UE) ont présenté le 20 juin un document commun intitulé « Stratégie européenne de sécurité économique » afin de « minimiser les risques (…) dans le contexte de tensions géopolitiques accrues et de changements technologiques accélérés » et de « promouvoir son avantage technologique dans des secteurs critiques ». Parmi les technologies à promouvoir, le document de 17 pages (1) mentionne notamment la 6G aux côtés de l’informatique quantique (quantum), des semi-conducteurs (chips) et de l’intelligence artificielle (IA).
La Chine n’est pas citée dans ce document, mais le spectre de Pékin plane. En revanche, dans son discours le 20 juin portant sur cette « sécurité économique » de l’Europe, la vice-présidente Margrethe Vestager a explicitement visé la Chine et ses deux équipementiers télécoms mondiaux, Huawei et ZTE (2). Et ce, en rappelant que la Commission européenne a, le 15 juin, fortement incité les Etats membres qui ne l’ont pas déjà fait – comme l’Allemagne voire la France – de ne plus recourir aux technologies 5G de Huawei et ZTE, les deux chinois étant cités nommément par le commissaire européen au Marché intérieur, Thierry Breton (3). Il va sans dire que la 6G est concernée par ce bannissement initié par les Etats-Unis, lesquels font pression sur les pays de l’UE et de l’OTAN pour faire de même. Pour se défendre de tomber dans le protectionnisme, la stratégie européenne de sécurité économique veut aller de pair avec « la garantie que l’Union européenne continue de bénéficier d’une économie ouverte ». La Finlande, elle, a signé le 2 juin avec les Etats-Unis une déclaration commune de « coopération dans recherche et développement de la 6G », sans que l’équipementier finlandais Nokia ne soit mentionné dans le joint statement (4). Nokia comme le suédois Ericsson profiteront de l’éviction politique de leur deux plus grands rivaux chinois.
Reste à savoir si la 6G aura des fréquences harmonisées dans l’ensemble des Vingt-sept. Lors de la 18e conférence européenne sur le spectre, qui s’est tenue les 6 et 7 juin derniers à Bruxelles et à laquelle participait l’Agence nationale de fréquences (ANFR) pour la France, un consensus s’est dégagé sur « la nécessité d’une feuille de route claire sur le spectre pour la 6G à l’horizon 2030 » (5). A suivre. @

L’accord sur le transfert des données personnelles vers les Etats-Unis peut-il aboutir ?

Publié le par

Après l’échec du « Safe Harbor » et celui du « Privacy Shield », un nouvel accord se fait attendre entre l’Union européenne et les Etats-Unis sur le transfert des données à caractère personnel. Si le processus est incontestablement en cours, il suscite des réserves qui compromettent son aboutissement.

Par Emmanuelle Mignon, avocat associé, et Gaël Trouiller, avocat, August Debouzy

(Article paru le 26-06-23 dans EM@ n°302. Le 03-07-23, les Etats-Unis ont déclaré avoir « rempli leurs engagements » pour la protection des données UE-US. Le 10-07-23, la Commission européenne a publié sa décision d’adéquation)

En mars 2022, la Commission européenne avait annoncé qu’un accord politique entre sa présidente Ursula von der Leyen et le président des Etats-Unis Joe Biden avait été trouvé (1) : une première traduction juridique de cet accord, intitulé « Data Privacy Framework » (DPF) est alors née, le 7 octobre 2022, du décret présidentiel américain – Executive Order n°14086 – sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (2).

Après l’annulation du « Privacy Shield »
Sur le fondement de cet Executive Order (EO), la Commission européenne a publié, le 13 décembre 2022 (3), un projet de décision d’adéquation du système étasunien de protection des données au droit de l’Union européenne (UE). Celui-ci a fait l’objet d’un avis consultatif du Comité européen de la protection des données (CEPD) du 28 février dernier. Cet avis reconnaît que l’EO apporte de « substantielles améliorations », mais souligne cependant que des écueils subsistent et que des clarifications du régime américain demeurent nécessaires (4). Plus critique, le Parlement européen, dans sa résolution du 11 mai 2023, « conclut que le cadre de protection des données UE–Etats-Unis ne crée [toujours] pas d’équivalence substantielle du niveau de protection [et] invite la Commission à ne pas adopter le constat d’adéquation » (5).
Epicentre du DPF, l’EO n°14086 de Joe Biden a pour objet d’instaurer des garanties juridiques afin de prendre en considération le droit de l’UE, en particulier l’arrêt « Schrems II » de 2020. On se souvient que, par cet arrêt, la Cour de justice de l’UE (CJUE) avait jugé que :
Le « Privacy Shield » instituait des limitations au droit à la protection des données à caractère personnel – protégé par les articles 7 et 8 de la Charte des droits fondamentaux de l’UE – méconnaissant les exigences de nécessité et de proportionnalité découlant de l’article 52 de cette même Charte. Etait en particulier visée la collecte « en vrac » de données des citoyens européens opérée par les services de renseignement étasuniens en application : de la section 702 du Foreign Intelligence Surveillance Act (FISA) de 2008, qui autorise les services de renseignement américains à adresser à un fournisseur de services de communications électroniques des directives écrites lui imposant de procurer immédiatement au gouvernement toute information ayant pour objet d’obtenir des renseignements (métadonnées et données de contenu) se rapportant à des personnes étrangères susceptibles de menacer la sécurité des EtatsUnis ; de l’Executive Order n°12333 de 1981, qui permet aux services de renseignement américains d’accéder à des données « en transit » vers les Etats-Unis, notamment aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données.
Le « Privacy Shield » ne fournissait pas de voie de contestation devant un organe offrant aux citoyens européens, dont les données sont transférées vers les EtatsUnis, des garanties substantiellement équivalentes à celles requises par l’article 47 de la Charte des droits fondamentaux de l’UE consacrant le droit à un recours effectif (6). Pour répondre aux attentes du droit de l’UE, l’EO n°14086 de Biden instaure des principes devant guider les services de renseignement américains lorsqu’ils traitent de données à caractère personnel. A cet égard, les services de renseignement doivent : respecter la vie privée et les libertés civiles indépendamment du lieu de résidence et de la nationalité des personnes dont les données sont collectées (en particulier, cette collecte ne pourra être opérée qu’à condition d’être « nécessaire » et « proportionnée » à la priorité en matière de renseignement alléguée) ; poursuivre des objectifs limitativement définis par l’EO, comme la protection contre le terrorisme ou l’espionnage, et s’écarter, en toute hypothèse, de ceux expressément exclus tels que l’entrave à la liberté d’expression.

L’Executive Order de Biden
L’EO de Biden prévoit, en outre, un mécanisme de recours à double niveau. En premier lieu, les citoyens européens pourront saisir, par l’intermédiaire d’une autorité publique désignée à cet effet, l’officier de protection des libertés publiques – Civil Liberties Protection Officer (CLPO) – d’une plainte. Ce dernier adoptera alors, s’il estime que les garanties conférées par l’EO n’ont pas été respectées, les mesures correctives appropriées comme la suppression des données illicitement récoltées. En second lieu, un appel de la décision du CLPO pourra être interjeté devant la Cour de révision de la protection des données – Data Protection Review Court (DPRC) – spécialement créée par l’EO. Elle sera composée de membres nommés en dehors du gouvernement américain et ayant une certaine expérience juridique en matière de données à caractère personnel et de sécurité nationale. La décision de cette Cour sera rendue en dernière instance et revêtue d’un caractère contraignant.

Des frictions avec le droit de l’UE
Les points persistants de friction avec le droit de l’UE qui sont mis en avant par ceux qui sont hostiles à l’adoption du DPF sont les suivants :
La collecte « en vrac » de données à caractère personnel, bien qu’encadrée par l’EO de Biden, n’est pas entièrement prohibée et ne nécessite pas une autorisation préalable indépendante. Le recours à cette méthode peut poser une sérieuse difficulté de compatibilité avec le droit de l’UE. En effet, la CJUE voit dans la collecte généralisée et non différenciée des données une incompatibilité avec le principe de proportionnalité (7), à tout le moins lorsqu’une telle collecte ne fait l’objet d’aucune surveillance judiciaire et n’est pas précisément et clairement encadrée (8). Or, cet encadrement pourrait, au cas présent, faire défaut dans la mesure où il est très largement extensible par la seule volonté du Président américain qui est habilité par l’EO à modifier, secrètement, la liste des motifs sur le fondement desquels il peut être recouru à cette technique de surveillance (9).
Il n’est pas acquis, faute de définition dans l’EO, que les caractères « nécessaire » et « proportionné » des collectes de données aient la même signification que celle – exigeante – prévalant en droit européen.
L’indépendance des organes de recours peut être mise en doute, bien que le système instauré par l’EO comprenne des garanties supérieures à celles antérieurement attachées au médiateur – l’Ombudsperson – du Privacy Shield. En particulier, le CLPO et la DPRC sont organiquement rattachés au pouvoir exécutif américain, n’appartiennent pas organiquement au pouvoir judiciaire et pourraient alors ne pas pouvoir être qualifiés de tribunal au sens de l’article 47 de la Charte des droits fondamentaux de l’UE. L’EO institue toutefois des garanties fonctionnelles d’indépendance à ces deux instances. Ainsi, le directeur du renseignement national ne pourra pas intervenir dans l’examen d’une plainte déposée auprès du CLPO et il lui est interdit de révoquer ce dernier pour toute mesure prise en application de l’EO. Quant à la DPRC, ses membres – qualifiés de juges – ne pourront pas recevoir d’instructions du pouvoir exécutif, ni être limogés à raison des décisions qu’ils prendront. A cet égard, on peut s’interroger mutatis mutandis sur la portée de certaines des garanties apportées par le droit des Etats membres en matière de contrôle des activités de surveillance. L’équilibre n’est pas simple à trouver, mais, s’agissant de la France, le caractère secret de la procédure de contrôle devant le Conseil d’Etat suscite à tout le moins des interrogations.
Enfin, d’autres règlementations américaines comme le Cloud Act – régissant la communication de données dans le cadre d’enquêtes judiciaires – n’entrent pas dans le champ de l’EO. Leur application, qui n’est donc pas tempérée par les garanties instituées par ce dernier, pourrait se révéler incompatible avec le niveau de protection des données à caractère personnel en droit de l’UE. Il y a lieu toutefois de souligner que les dispositions du Cloud Act s’inscrivent dans le cadre de l’activité judiciaire des autorités américaines (poursuites et répression des infractions pénales et administratives), qui doit être clairement distinguée des activités de renseignement. Le Cloud Act offre en pratique des garanties qui n’ont rien à envier à celles du droit de l’UE et du droit des Etats membres (10).Ces points de vigilance, non-exhaustifs, devront être scrutés avec attention tout au long de l’examen du processus d’adoption de la décision d’adéquation. Après le CEPD et le Parlement européen, c’est au tour du comité composé des représentants des Etats membres de l’UE d’émettre prochainement un avis sur le projet de la Commission européenne. A supposer qu’il y soit favorable à la majorité qualifiée de ses membres, la décision d’adéquation pourra alors être adoptée. Si la Commission européenne s’est initialement affichée plutôt confiante sur l’avènement du DPF (11), celui-ci pourrait évidemment se retrouver grippé par une contestation de la décision d’adéquation devant le juge européen qui a déjà été annoncée par ses adversaires. En cas de succès de ce recours, l’avenir serait alors bien incertain dans la mesure où les Etats-Unis semblent être arrivés au bout de ce qu’ils sont prêts à concéder pour parvenir à un accord transatlantique sur le transfert des données qui ne se fera pas au prix d’un affaiblissement de la conception qu’ils se font de leur sécurité nationale.

Vers une 3e annulation par la CJUE ?
Il est peu de dire qu’une éventuelle annulation par la CJUE de la future troisième décision d’adéquation après celles relatives aux « Safe Harbor » (décision « Schrems I » de 2015) et au « Privacy Shield » (décision « Schrems II » de 2020), cristalliserait, de part et d’autre de l’Atlantique, des positions politiques et juridiques certainement irréconciliables. Surtout, cela prolongerait la situation d’incertitude juridique dans laquelle sont plongés les acteurs économiques qui peuvent se voir infliger de lourdes sanctions en cas de transferts transatlantiques irréguliers de données, à l’image de la société Meta condamnée, le 12 mai 2023, à une amende record de 1,2 milliard d’euros par le régulateur irlandais. @