Présenté par la Commission européenne le 15 décembre 2020, le paquet législatif « DSA & DMA » – visant à réguler Internet en Europe, des réseaux sociaux aux places de marché – relève d’un exercice d’équilibriste entre régulation des écosystèmes et responsabilités. Son adoption est espérée d’ici début 2022.
Archives par mot-clé : Juridique
Comment la Cnil a contourné le RGPD pour pouvoir elle-même mettre à l’amende Amazon et Google
La Cnil a invoqué la directive « ePrivacy » et non le RGPD. Et si Amazon et Google n’avaient pas modifié en septembre 2020 leur site web (amazon.fr et google.fr) pour être en conformité – mais partiellement – avec les règles françaises sur les cookies, leurs amendes auraient été plus salées.
Retour sur le rapport parlementaire « antistrust » qui a convaincu des Etats américains d’attaquer les GAFA
Alors que des Etats américains se coalisent pour engager des poursuites judiciaires à l’encontre de Google et de Facebook, accusés d’abus de position de dominante, revenons sur les conclusions du rapport parlementaire « antitrust » qui appelle le Congrès des Etats-Unis à légiférer contre les GAFA.
Par Fabrice Lorvo*, avocat associé, FTPA.
La révolution numérique continue à désemparer les juristes dès lors que depuis plus de vingt ans, le droit ne cesse de courir désespérément derrière la technique. Que ce soit notamment du fait de l’abolition des frontières ou de la fin du monopole du support papier, le numérique s’est développé en dehors des lois et des Etats. Et c’est au nom de la défense de la liberté individuelle que les GAFA (1) se sont opposés à toute réglementation étatique. La tâche est d’autant plus facile que les Etats ne sont même pas d’accord entre eux sur la conduite à tenir.
Des start-up aux « killer acquisitions »
Schématiquement les Européens étaient en faveur d’une réglementation contraignante des GAFA, alors que les Américains – pensant être les bénéficiaires économiques de ces méga-plateformes numériques nées sur leur sol et suspectant des mesures protectionnistes européennes d’entraves à la mondialisation en marche – y étaient opposés ! Les Etats-Unis, eux, sont plus partisans d’une sorte de soft power par l’économie. Or, aujourd’hui, les GAFA sont devenus des monstres qui disposent d’une puissance dépassant ou rivalisant avec celle de certains Etats. Alors que le « Vieux Continent » – notamment la Commission européenne et les autorités de la concurrence françaises, allemandes et britanniques – ne cesse de réfléchir aux moyens de contrôler ladite puissance et de sanctionner ses abus, le « Nouveau Monde » semblent commencer à se préoccuper de la situation.
La commission des Affaires juridiques de la Chambre des représentants des Etats-Unis (2) a publié en octobre 2020 un rapport d’enquête concernant l’état de la concurrence sur les marchés numériques. L’objectif était de documenter les problèmes de concurrence, d’examiner si les entreprises dominantes se livraient à un comportement anticoncurrentiel, et d’évaluer si les lois antitrust existantes, ainsi que les politiques de concurrence et les niveaux d’application actuels, étaient adéquats. Après plus d’une année d’enquête, la collecte de preuves d’environ 1,3 million de documents, l’audition des différents intervenants et notamment les « Chief Executive Officer » (CEO) respectifs des GAFA (3), le rapport tire de nombreux enseignements. Ce rapport de 451 pages (4), qui fera date, constate que ces entreprises qui étaient autrefois des start-up rebelles et négligées sont devenues le genre de monopoles que les Etats-Unis ont connus à l’ère des barons du pétrole, des magnats des chemins de fer, et des financiers des télécommunications.
• Google a le monopole sur les marchés de la recherche générale en ligne et de la publicité. L’entreprise s’est depuis étendue à beaucoup d’autres secteurs d’activité (Chrome comme navigateur, Google Maps pour la cartographie, Google Cloud dans le nuage informatique, ou encore « l’Internet des objets » pour ne citer qu’eux).
• Amazon a une position dominante sur le marché des achats en ligne. Elle exerce un pouvoir de monopole sur de nombreuses petites et moyennes entreprises qui n’ont pas d’alternative viable à Amazon pour atteindre les consommateurs en ligne.
• Facebook a un pouvoir de monopole sur le marché des réseaux sociaux. Facebook a également maintenu son monopole grâce à une série de pratiques commerciales anticoncurrentielles.
• Apple a un pouvoir de marché significatif et durable sur le marché des systèmes d’exploitation mobiles lui permettant ainsi de contrôler toutes les distributions de logiciels sur les appareils iOS.
Bien qu’étant différentes, ces quatre sociétés ont des pratiques commerciales qui révèlent des problèmes communs. Chaque plateforme sert désormais de « portier » (gatekeeper) sur son canal-clé de distribution. En contrôlant l’accès aux marchés, les GAFA peuvent choisir les gagnants comme les perdants. Le succès des entreprises et des acteurs du marché (et donc leurs moyens de subsistance économiques) dépend donc du bon vouloir et de l’arbitraire des plateformes dominantes.
Première victime : le consommateur
Ce pouvoir est non seulement démesuré mais ils en abusent en facturant des frais exorbitants, en imposant des clauses commerciales abusives et en exploitant des data précieuses provenant de ceux qui utilisent leurs services. Pour renforcer leur position dominante, chaque plateforme utilise son statut de « portier » pour empêcher l’arrivée de nouveaux concurrents – notamment en identifiant et, le cas échéant, en annihilant des rivaux potentiels : soit en les rachetant, soit en les copiant ou soit en les détruisant. Le rapport mentionne même par deux fois l’expression « killer acquisitions ».
Le rapport reconnaît que les GAFA ont apporté des avantages évidents à la société américaine, cependant il constate que leur domination a un prix et qu’il est coûteux. La première victime est le consommateur. Par exemple, en l’absence de concurrence d’Apple, non seulement la qualité et l’innovation parmi les développeurs d’applications mais aussi le choix pour les consommateurs ont été réduits et les prix ont augmenté.
De même, la qualité de Facebook s’est détériorée au fil du temps, entraînant une dégradation de la protection de la vie privée de ses utilisateurs et une augmentation spectaculaire de la désinformation sur sa plateforme. En l’absence de garde-fous de protection de la vie privée adéquats aux Etats-Unis, la collecte persistante et l’utilisation abusive des données des consommateurs sont un indicateur du pouvoir de marché en ligne.
Pouvoir de marché en ligne accru
Le consommateur direct n’a pas été la seule victime de ces comportements ; le citoyen l’est aussi. En effet, les abus de ces positions dominantes affectent aussi la presse indépendante et diversifiée, l’innovation, la vie privée en ligne des Américains (la confidentialité et les données), mais aussi la démocratie. Le rapport relève qu’il existe une asymétrie de pouvoir significative et croissante entre les plateformes dominantes et les organes de presse. Cette domination a des effets néfastes sur la production et la disponibilité de sources d’information fiables. La domination de certaines plateformes en ligne a contribué au déclin des sources d’informations fiables qui sont pourtant essentielles à la démocratie.
La montée en puissance du pouvoir de marché en ligne a également affaibli considérablement l’innovation et l’esprit d’entreprise dans l’économie américaine. Certains investisseurs en capital-risque ne souhaitent pas financer de jeunes entreprises qui osent tenter d’entrer en concurrence frontale avec ces entreprises dominantes. Enfin, le pouvoir de marché de ces plateformes risque aussi de saper les libertés politiques. Du fait de leur position dominante, chacune de ces entreprises gère dorénavant sa part de marché et écrit sa propre quasi-réglementation privée sans rendre compte à personne d’autre qu’à elle-même. Par le lobbying, ces entreprises renforcent leur pouvoir d’influence sur le processus d’élaboration des politiques, façonnant davantage la manière dont elles sont gouvernées et réglementées. Elles sont devenues des Etats dans l’Etat. Les GAFA prennent aussi quelques libertés avec les tribunaux, soit parce que ces entreprises se considèrent comme au-dessus de la loi, soit parce qu’elles considèrent la violation de la loi comme un coût commercial. Ces géants du Net ont trop de pouvoir et cela va encore empirer car, dans la prochaine décennie, ils vont probablement concentrer à eux seuls 30 % de la production économique brute mondiale. Ce market power doit donc être limité et soumis à surveillance et contrôle, voire à sanctions. L’économie et la démocratie des Etats-Unis sont en jeu, et a fortiori aussi celles d’autres régions du monde. Pour tenter d’enrayer ce phénomène, le rapport affirme que les lois doivent être actualisées pour permettre à l’économie américaine de rester dynamique et ouverte à l’ère numérique. Il formule les objectifs suivants : restaurer la concurrence dans l’économie numérique, renforcer les lois antitrust, et relancer l’application de la loi antitrust. Cette condamnation sans appel du pouvoir démesuré et abusif des GAFA et cette invitation à agir – véritable appel à légiférer – sera-t-elle suivie d’effets ? Pour ce faire, il faudrait une évolution concomitante du pouvoir législatif, c’est-à-dire du Congrès américain (or ce rapport écrit essentiellement par des démocrates n’est probablement pas l’expression de la majorité du Congrès), du pouvoir exécutif (celui qui applique les lois de la concurrence) et du pouvoir judiciaire (puisqu’une évolution nécessiterait au préalable des revirements de jurisprudence de la Cour Suprême des Etats-Unis en matière de règles antitrust).
La tâche sera dure et la route longue. On peut y voir, a minima, une prise de conscience américaine et espérer que l’Amérique ne sera plus un obstacle aux tentatives de réglementation de l’Europe. Depuis 2016, la Commission européenne tente de repenser les règles du contrôle des concentrations dès lors que le critère du simple chiffre d’affaires de la cible n’est plus l’unique critère pertinent sur le marché numérique (5). Une des pistes serait de renforcer le caractère dissuasif des sanctions financières en cas d’abus de position dominante. Face aux chiffres d’affaires colossaux des GAFA, des amendes ont actuellement un effet marginal (6).
Les BATX et les YVOT en embuscade
Reste la solution du démantèlement pure et simple évoquée par ce rapport « anti-trust ». Si cette hypothèse semble être la seule solution concrète pour régler définitivement les abus des GAFA, elle n’est pas sans risque. En effet, elle ne peut être sérieusement envisagée qu’au niveau mondial. A défaut, démanteler les GAFA reviendrait à laisser la place vide aux BATX (7) chinois ou aux YVOT (8) russes qui sont en embuscade. Or le numérique est comme la nature, il a horreur du vide. Le risque serait donc de supprimer un risque américain pour lui substituer un risque d’un autre continent. @
* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.
Les éditeurs n’ont plus que quatre mois pour adopter la nouvelle recette de la Cnil sur les cookies
La Cnil commencera fin mars 2021 à sanctionner les éditeurs de services en ligne qui ne se seront pas mis en conformité avec ses nouvelles règles les obligeant notamment à obtenir de manière plus stricte qu’avant le consentement des internautes avant de déposer des traceurs sur leurs terminaux.
Par Florence Chafiol, avocate associée, et Stéphanie Lapeyre, avocate, August Debouzy
Le cookie, ce petit fichier texte informatique déposé et lu sur le terminal d’un utilisateur, n’a vu le jour qu’en 1994. Si, au début de leur création, les cookies avaient une utilité limitée et méconnue du grand public, ils sont aujourd’hui au coeur de la stratégie numérique de la plupart des éditeurs de services en ligne et sources de nombreux débats. Victimes de leur succès, leur utilisation a rapidement été réglementée (1). En 2002, la directive européenne dite « ePrivacy » (2) est venue encadrer leur utilisation.
Base de la recette : informer les utilisateurs
Le consentement est alors devenu central : en principe pas de cookies sans accord préalable des utilisateurs. En France, la Commission nationale de l’informatique et des libertés (Cnil) a adopté sa première recommandation sur le sujet en 2013, afin de guider les éditeurs dans l’application de la loi et notamment dans les modalités d’obtention du consentement. Le Règlement général sur la protection des données (RGPD) ayant durci les conditions d’obtention d’un tel consentement, la Cnil a adopté le 4 juillet 2019 de nouvelles lignes directrices (3) qui sont venues abroger la recommandation de 2013. Ces lignes directrices ont été partiellement remises en cause par le Conseil d’Etat (4), et une nouvelle version a alors vu le jour le 17 septembre 2020 (5), assortie de recommandations opérationnelles (6) pour accompagner au mieux les éditeurs.
A la lecture de ces nouveaux documents adoptés par la Cnil, on note tout d’abord que l’obligation d’information préalable des utilisateurs est renforcée par rapport à 2013, même si ses modalités ne changent pas réellement : la Cnil recommande toujours une information à deux niveaux, avec un premier niveau mis en évidence lors de la connexion à la plateforme, qui contient les informations essentielles (dans la fameuse interface de recueil de consentement souvent appelée « bannière cookies ») et qui renvoie à un second niveau d’information plus complet. Cependant, les éléments devant figurer dans ces deux niveaux d’information sont largement précisés et apparaissent plus contraignants qu’auparavant. Les entreprises devront ainsi notamment s’assurer que leur bannière cookies :
• Mette en exergue chaque finalité spécifique dans un intitulé court accompagné d’un bref descriptif. Un niveau de détail plus important que celui qui existe actuellement est donc requis dès le premier niveau d’information. Il ne sera dès lors plus possible, par exemple, de se contenter d’informer l’utilisateur de l’utilisation de cookies à des fins publicitaires ; il faudra préciser si ces derniers sont utilisés pour de la publicité ciblée, non-ciblée, géolocalisée, etc.
• Permette à l’utilisateur d’accéder facilement à une information détaillée sur chaque finalité. L’utilisateur doit pouvoir cliquer sur un lien hypertexte « en savoir plus » ou ouvrir un menu déroulant lui donnant, pour chaque finalité, des informations plus précises sur les opérations techniques réalisées.
• Permette à l’utilisateur d’accéder facilement à la liste exhaustive et à jour des responsables de traitement. Pour ce faire, la Cnil recommande d’indiquer le nombre de responsables de traitement et de renvoyer, via un lien hypertexte, vers une liste plus exhaustive (avec leur identité et un lien vers leur politique de protection des données) (7). L’éditeur devra donc être en mesure d’établir une liste de l’ensemble des organismes qui seraient susceptibles de déposer des cookies sur son site/application (cookies tiers) pour leur propre compte et devra mettre cette liste à jour régulièrement.
Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux
La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.
Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris
La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.
La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.
Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.
Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.
Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @
* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.