Archives par mot-clé : Juridique

Collecte de données de géolocalisation mobile : la Cnil mène l’enquête au regard du RGPD

Publié le par

Le 13 juin 2022, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir confié à son laboratoire Linc une étude sur les données de géolocalisation collectées par des applications mobiles, la revente de données et les data brokers. Elle vérifiera la conformité avec le RGPD.

« Si cette étude n’est pas liée à une procédure de contrôle ou de sanction, elle s’inscrit néanmoins dans l’une des thématiques prioritaires de contrôles puisqu’en 2022 la Cnil vérifiera la conformité au RGPD des professionnels du secteur [en l’occurrence de la prospection commercial, dont la publicité en ligne, ndlr], en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers) », précise le gendarme français des données et des fichiers informatiques.

Données anonymisées ou authentiques
Cela fait partie de ses priorités pour l’année en cours, dans le cadre sa mission de contrôle du respect du règlement général sur la protection des données (RGPD), lequel fut adopté en 2016 par le Parlement européen (1) et en vigueur depuis mai 2018 dans les Vingt-sept. Cette enquête est confiée au Laboratoire d’innovation numérique (Linc), dirigé depuis plus d’un an par Vincent Toubiana (photo). Cette mission s’achèvera dans quinze mois – en septembre 2023 – et « ce projet donnera lieu à plusieurs publications sur le site web du Linc » (2). Si la Cnil n’envisage pas – pour l’instant ? – d’actions répressives à l’encontre des exploitants de données, anonymisées et/ou personnelles, qui enfreindraient le RGPD et la protection de la vie privée des internautes, elle prévoit de « sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles ».
Pour étudier les pratiques aux finalités publicitaires et marketing, le Linc est en train d’analyser « un échantillon de données correspondant à la France » que la Cnil s’est procuré auprès d’un data broker de la place en se faisant passer pour un client potentiel lambda. Elle a pu ainsi obtenir du courtier de données « un jeu de données de géolocalisation » concernant des personnes. La Cnil précise que le jeu de données concerné est un fichier comportant des données de géolocalisation horodatées avec des points de localisation associés à près de 5 millions d’identifiants publicitaires de smartphones (Android et iOS) sur une période d’environ une semaine en 2021. « Les données transmises, précise le régulateur des données personnelles, sont présentées comme anonymisées par le revendeur de données. Après une rapide analyse, la Cnil considère qu’au moins une partie de ces données est authentique. Elle vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci ».
Dans l’éventualité où des personnes seraient réidentifiées, assure donc l’autorité indépendante de la place de Fontenoy, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées. « Si vous souhaitez plus d’informations sur ce traitement ou si vous souhaitez exercer vos droits, vous pouvez contacter ip@cnil.fr ou adresser un courrier à la Cnil à l’attention du service Linc », indique-t-elle. Des mesures particulières ont même été prises pour assurer la confidentialité de ces données auxquelles ne pourront accéder que l’équipe du Linc. Dans le jeu de données fourni, apparaissent des identifiants publicitaires. Ce que l’on appelle « identifiant publicitaire » consiste en une chaîne de caractères associée à un unique smartphone et permettant à des annonceurs de le reconnaître pour lui adresser de la publicité. « Comme son nom l’indique, cette donnée est identifiante : il s’agit donc d’une donnée personnelle. Un acteur disposant de deux sources de données présentant le même identifiant publicitaire est en mesure de relier les informations et de construire un profil plus complet de la personne à laquelle l’identifiant est associé », souligne la Cnil.

Deux missions : information et veille techno
Un courtier de données est à même de pouvoir relier les données d’utilisations collectées à partir de différentes applications installées sur un même smartphone. « Plus cet identifiant est stable dans le temps, fait remarquer l’autorité, plus il permet d’accumuler des informations sur les habitudes des propriétaires de smartphones. Il est donc conseillé de renouveler régulièrement cet identifiant ». Dans l’étude du Linc, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. Un acteur de la publicité, lui, cherchera à faire le lien utiliser la valeur de l’identifiant pour l’associer à d’autres données telles que des données d’utilisation d’applications mobiles. La course à la géolocalisation mobile à des fins de publicités ciblées en temps réel – le RTB (Real Time Bidding) – serait la plus grande atteinte à la vie privée, selon l’ONG irlandaise ICCL (3), qui a publié le 16 mai dernier une étude édifiante (4) : en Europe, l’industrie du RTB expose les données des gens 376 fois par jour en moyenne ; aux Etats-Unis, c’est 747 fois ! L’industrie américaine et européenne du RTB a généré plus de 117 milliards de dollars en 2021.

Des mesures législatives ou réglementaires ?
Cette étude sur les données de géolocalisation collectées par des applications mobiles s’inscrit dans le cadre de deux missions précises de la Cnil prévues par la loi « Informatique et Liberté » : d’une mission d’information telle que définie dans l’article 8.I.1 (« Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ») ; d’une mission de suivi de l’évolution des technologies de l’information telle que définie dans l’article 8.I.4 (« Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er »).
Dans sa mission de suivi de l’évolution des technologies de l’information, la Cnil peut même proposer au gouvernement des mesures législatives ou réglementaires pour procéder à l’« adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ». Reste à savoir s’il faudra adapter les textes en vigueur aux données de géolocalisation collectées par des applications mobiles, à la revente de données et aux pratiques des data brokers. Quoi qu’il en soit, la Cnil est tenue de contrôler la conformité des acteurs du numérique en France au RGPD, et les données de géolocalisation des données mobile – à l’ère du smartphone utilisé comme premier écran – sont particulièrement sensibles à cet égard.
D’autant que la loi « Informatique et Libertés » de 1978 n’a jamais été autant réécrite depuis l’ordonnance « Protection des données personnelles » du 12 décembre 2018 qui a mis en conformité le droit national français (5) avec le RGPD entré en vigueur au niveau européen depuis le 25 mai 2018. Cette transposition a notamment eu un impact sur le 1er article de cette loi française historique sur l’informatique, les fichiers et les libertés, qui en réfère désormais au RGPD européen notamment. Ainsi : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s’exercent dans le cadre du [RGPD], de la directive [dite « Police-Justice », ndlr (6)] et de la présente loi [« Informatique et Libertés »] ».
L’on comprend pourquoi la collecte des données de géolocalisation par les éditeurs d’applications mobiles soit mise sous surveillance et fasse l’objet d’une enquête de la part du régulateur des données personnelles. La question de l’anonymisation de ces data géolocalisées et de leur identification en tant que données personnelles est cruciale, voire épineuse pour tout l’écosystème numérique et publicitaire.
Surtout que la directive européenne dite « ePrivacy » – modifiée (7) et transposée à l’article 82 de la loi « Informatique et Libertés » – interdit la collecte de données sans le consentement préalable de l’internaute (du mobinaute) concerné et sans qu’elle ait été rendues anonymes. Or cette directive « ePrivacy » prévoit en son article 5.3 que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cette disposition, transposée dans des termes similaires en droit français dans la loi « Informatique et Libertés », concerne a priori aussi bien les cookies stockés sur tout terminal connecté que l’accès aux données de géolocalisation qui y sont stockées.

Cookies et data géolocalisées, même combat ?
D’ailleurs, comme elle l’a déjà fait pour les cookies déposés par Amazon et Google (8), la Cnil pourrait très bien recourir non pas au RGPD – lequel suppose à « l’autorité chef de file » de coordonner la prise de décision avec les autres autorités concernées par le traitement des données en question – mais à s’appuyer plutôt sur cette directive « ePrivacy ». Dans ce cas, le gendarme français des données personnelles peut se considérer comme territorialement compétente pour contrôler et sanctionner des acteurs – même étrangers – abusant de la géolocalisation de données mobiles via leurs activités en France. @

Charles de Laubier

Violation de données personnelles sur Facebook : « Zuck »paiera-t-il des dommages et intérêts ?

Publié le par

Depuis le 23 mai, le PDG cofondateur de Facebook – Mark Zuckerberg – est accusé d’avoir pris directement la décision qui a porté atteinte à la protection des données, provoquant le scandale « Cambridge Analytica » de 2016. Le procureur de Washington D.C. lui demande des dommages et intérêts.

Six ans après le scandale « Cambridge Analytica » qui a cloué au pilori la société britannique du même nom pour fuite massive en 2016 de données personnelles dans la campagne présidentielle de Donald Trump, voici que Mark Zuckerberg fait lui-même l’objet d’une plainte. Après le refus d’un juge en mars dernier que le PDG de Facebook soit cité comme témoin (1) dans la procédure engagée en 2018 contre le numéro un des réseaux sociaux (2), le procureur général du District de Columbia (Washington), Karl Racine (photo), remonte au créneau en poursuivant cette fois « Zuck » en l’accusant d’être directement responsable. Il demande à la justice de le condamner à verser des dommages et intérêts.

Dommages et intérêts demandés à « Zuck »
L’affaire retentissante « Cambridge Analytica », qui avait notamment porté sur l’utilisation illégale de 70 millions de comptes de Facebook aux Etats-Unis pour influencer en 2016 l’élection présidentielle américaine, a déjà valu à la firme de Menlo Park (Californie) 5 milliards de dollars d’amende infligés en juillet 2019 par la FTC (3). Cambridge Analytica a aussi manipulé des données personnelles lors de la campagne pour ou contre le Brexit au Royaume-Uni.
Cette nouvelle plainte à Washington D.C. s’attaque pour la première fois à Mark Zuckerberg en personne, en tant que PDG du groupe Meta Platforms (maison mère de Facebook depuis octobre 2021). Cette assignation en justice, déposée le 23 mai dernier par le procureur Karl Racine, démontre – preuves à l’appui – que le patron de Facebook était décisionnaire dans la tromperie des utilisateurs et la violation de loi américaine sur la protection des consommateurs. « Le District de Columbia est en possession d’éléments de preuve qui démontrent à la fois le bien-fondé de (…) la responsabilité personnelle de M. Zuckerberg et de ses violations de la CPPA [à savoir le California Consumer Privacy Act (CCPA) de 2018]», assure l’auteur de la plainte, qui demande au tribunal « réparation » en condamnant le PDG à « verser un dédommagement ou des dommages et intérêts » (4). Karl Racine, qui demande en outre de lui « infliger des sanctions civiles », explique que le groupe Facebook – « sous la direction » de Mark Zuckerberg – a modifié son business model parce qu’il a reconnu que son réseau social au « F » blanc sur fond bleu pourrait être encore plus rentable s’il pouvait exploiter et vendre – « auprès de tiers » – la capacité d’influencer de manière fiable le comportement de ses utilisateurs. Facebook a encouragé – « et, parfois, en collaboration avec (eux) » – des développeurs et des chercheurs afin de recueillir et d’analyser les données des utilisateurs de Facebook pour qu’ils puissent mieux apprendre à manipuler les humeurs de ces 2,9 milliards « d’amis » (à ce jour) et influencer leurs achats et même la manière dont ils votent. « Plus le Facebook de Zuckerberg attise la division et la polarisation, déstabilise les démocraties, amplifie les génocides et a une incidence sur la santé mentale des utilisateurs, plus Facebook et ses dirigeants gagnent de l’argent. Compte tenu des milliards de dollars en jeu, et n’ayant aucun égard envers les personnes qu’il prétend servir, Facebook – sous la direction de Zuckerberg – a décidé de cacher ces problèmes le plus longtemps possible, y compris en induisant intentionnellement en erreur les utilisateurs de Facebook ainsi que le public, la presse et les dirigeants politiques », dénonce le procureur général. A l’origine du mal : la décision prise en 2010 par Facebook – « encore une fois une idée de Zuckerberg » – d’ouvrir la plateforme Facebook à des tiers. C’est à partir de là que tout commence, Facebook ayant persuadé des développeurs externes de créer des applications accrocheuses pour le réseau social, « en dirigeant encore plus d’utilisateurs et de données d’utilisateurs vers la plateforme ». Ce détournement de user data s’est fait par des « portes latérales » (side doors) au sein des applications elles-mêmes. Et Karl Racine d’enfoncer le clou : « Etant donné que la plateforme de Facebook a été conçue pour permettre les abus, la société de Zuckerberg a fonctionné en grande partie sans mesures de protection appropriées pour protéger les utilisateurs : l’application des règles était laxiste, l’examen des violations des applications était incohérent ou subjectif, et les règles elles-mêmes étaient floues et déroutantes. Mais en 2018, le monde a appris cette imposture ».

Wylie et Kaiser : lanceurs d’alerte en 2018
La politique laxiste de « Zuck » dans la soi-disant protection des données personnelles éclate au grand jour en mars 2018 (voir encadré page suivante). « Ce qui est le plus troublant, c’est que Facebook s’est penché sur (l’activité de) Cambridge Analytica et a déterminé qu’elle présentait un risque pour les données des consommateurs, mais a choisi d’enterrer ces préoccupations plutôt que de les arrêter, car cela aurait pu nuire au résultat net de Facebook (et de Zuckerberg) », fustige encore le procureur général. Karl Racine appelle la justice à tenir pour responsable Mark Zuckerberg en personne dans la violation des lois américaines sur la protection des données des utilisateurs de Facebook. Le cofondateur de Facebook, dont il est le PDG (membre du conseil d’administration), est citoyen américain résidant à Palo Alto (en Californie). Tandis que le siège social du groupe Meta (Facebook jusqu’en octobre 2021) est situé à Menlo Park, dans le même Etat. « Depuis 2012, Zuckerberg est président du conseil d’administration de Facebook et contrôle environ 60 % des actions avec droit de vote », est-il rappelé.

La responsabilité du PDG est engagée
Selon Forbes, et au moment où nous écrivons ces lignes, « Zuck » est la 15e personne la plus riche du monde avec un patrimoine professionnel de 70,1 milliards de dollars (5). Depuis la création de « TheFacebook » le 4 février 2004 à l’université d’Harvard et le lancement de Facebook le 1er août 2005, l’encore jeune homme – 38 ans depuis le 14 mai 2022 – est le responsable en chef des opérations quotidiennes de Facebook, de sa stratégie produit et de ses pratiques – « y compris les actes et les pratiques énoncés dans la présente plainte ». Lorsqu’il sera entendu à Washington D.C. dans le cadre de cette nouvelle procédure judiciaire, ce ne sera pas la première fois qu’il répondra aux allégations de ce district, comme il a pu le faire aussi devant les agences fédérales (FTC et FCC) ou le Congrès américain.
Si l’affaire « Cambridge Analytica » porte sur l’année 2016, avant d’être révélée en 2018, elle trouve ses origines dès 2013 : en novembre de cette année-là, Aleksandr Kogan – chercheur scientist affilié à l’Université de Cambridge – et son entreprise Global Science Research (GSR) ont lancé une application-tierce sur la plateforme Facebook, appli ludique de quizz baptisée « This is Your Digital Life » et capable de collecter des données personnelles pour générer un profil de personnalité. L’année suivante, le jeune Américain d’origine moldave (36 ans aujourd’hui) a conclu un accord avec Cambridge Analytica – cabinet d’experts-conseils politiques basé à Londres, auprès de candidats américains ou d’ailleurs – pour lui vendre les données recueillies par son application : 87 millions de consommateurs Facebook, dont près de la moitié résidents du district de Washington. « Plutôt que de faire de telles divulgations significatives [sur ces agissements dont ils avaient connaissance, et en violation de leurs propres règles], Facebook et Zuckerberg ont plutôt profité de Kogan et de Cambridge Analytica – utilisant abusivement des données de consommation volées – en vendant des millions de dollars d’espaces publicitaires à Cambridge Analytica et pour les campagnes des candidats à la présidence lors des élections de 2016 », accuse le procureur général Karl Racine. Mark Zuckerberg est même allé jusqu’à prétendre que la vie privée n’est plus une « norme sociale » parce que « les gens se sont vraiment mis à l’aise non seulement (avec le fait) de partager plus d’informations et d’autres types de renseignements, mais aussi de communiquer plus ouvertement et avec plus de monde » (6). La responsabilité et la culpabilité du patron actionnaire de Facebook – maintenant de Meta – ne fait aucun doute, d’après les détails donnés par le procureur : « Au sein de Facebook, Zuckerberg a supervisé directement le développement de produits et les travaux d’ingénierie qui exposaient les données des consommateurs à des abus : Zuckerberg est responsable de la plateforme Facebook et est en mesure d’annuler toute décision prise par l’entreprise. (…) Et, contrairement à ses déclarations publiques, Zuckerberg avait l’intention de trouver un moyen de tirer parti des changements apportés à la plateforme pour amasser plus de données — et donc plus d’argent — pour Facebook ». Le raisonnement est implacable et accablant pour le geek devenu très tôt multimilliardaire. Pour illustrer la responsabilité de « Zuck », Karl Racine cite longuement un de ses e-mails internes – daté celui-là du 19 novembre 2012 – près de dix ans déjà – où le patron conclut : « Le but de la plateforme est de lier l’univers de toutes les applications sociales ensemble afin que nous puissions permettre beaucoup plus de partage et rester toujours le hub social central. Je pense que cela trouve le juste équilibre entre l’ubiquité, la réciprocité et le bénéfice ».

10 ans de mensonges et de tromperies
Cela fait au moins depuis dix ans que Mark Zuckerberg était au courant des « risques » de sa plateforme « ouverte » sur la vie privée des « amis », où les amis de mes amis sont mes amis – «mais il n’a pas agi », alors qu’« il était conscient des risques posés (mais) il a activement ignoré ces risques ». Car le partage de données est au cœur du business model et la principale source de revenus (y compris publicitaire) de Facebook. « En tant que tel, Zuckerberg a participé, dirigé, géré, ou autrement connu – et avait le pouvoir de contrôler – les actions incohérentes de Facebook concernant la vie privée, y compris les pratiques commerciales trompeuses, les fausses déclarations et les ambiguïtés qui contreviennent à la loi sur la protection des consommateurs », conclut le procureur. La parole est maintenant à la défense. @

Charles de Laubier

ZOOM

L’affaire « Facebook » éclate au grand jour en mars 2018
Le scandale «Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur (7). Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie, qui s’est présenté alors comme le lanceur d’alerte de cette affaire (8). Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser a elle aussi fait des révélations (9) qui ont aussi fait l’effet d’une bombe (10). @

Pourquoi le fantôme de Snap fait trembler Internet

Publié le par

En fait. Le 23 mai, la société Snap – dirigée par son cofondateur Evan Spiegel – a émis un avertissement sur ses prévisions de résultats pour le second trimestre 2022. Depuis, le cours de Bourse du réseau social au fantôme a chuté de près de 45 % (1). C’est un vrai coup de semonce pour tout l’écosystème publicitaire.

En clair. « Depuis que nous avons publié nos objectifs le 21 avril 2022, l’environnement macroéconomique s’est détérioré davantage et plus rapidement que prévu. Par conséquent, nous pensons qu’il est probable que nous fassions état d’un chiffre d’affaires et d’un EBITDA ajusté inférieurs à l’extrémité inférieure de notre fourchette de prévisions pour le deuxième trimestre 2022 ».
Par cet avertissement enregistré par le gendarme de la Bourse américain, la SEC, et publié le 23 mai (2), l’éditeur de la plateforme Snapchat a jeté un froid et entraîné avec lui à la baisse d’autres entreprises cotées de réseaux sociaux et/ou leur maison mère (Twitter, Pinterest, Meta/Facebook, Alphabet/ YouTube, …), mais aussi des entreprises de publicité également cotées (Publicis, WPP, Omnicom, Interpublic Group, …).
Cette alerte laconique porte sur le chiffre d’affaires et la marge brute d’exploitation du deuxième trimestre en cours, dont les résultats seront publiés courant juillet. Comme l’essentiel des revenus de la société Snap provient pour l’essentiel de la publicité, ces quelques lignes ont sonnées comme coup de semonce pour toutes les plateformes numériques vivant de la publicité sur Internet et pour tous les acteurs de ce marché publicitaire très sensible aux conjonctures économiques. Snap est l’archétype de cette dépendance à la publicité en ligne : rien que sur son premier trimestre 2022, son chiffre d’affaires – essentiellement publicitaire – a franchi pour la première fois la barre du 1 milliard de dollars, soit un bond de 38 % sur un an (contre 769,6 millions de dollars au premier trimestre de l’année précédente).
Deux offres publicitaires principales sont proposées par le réseau social au fantôme, qui revendique 332 millions d’utilisateurs en moyenne par jour dans le monde, dont 75 % de Millennials et de GenZ : Snap Ads (3) et AR Ads (4). La publicité dite AR (Augmented Reality) propose aux annonceurs et partenaires des « filtres » sponsorisés (sponsored filters) et des « lentilles » sponsorisées (sponsored lenses). Mais l’inflation, la hausse des taux d’intérêt et la guerre en Ukraine a fait revenir tout l’écosystème de la virtualité à la réalité. Aux difficultés économiques, s’ajoutent la fin des cookies pour le ciblage chez Apple et Google, d’une part, et le fléau persistant de la fraude publicitaire (5), d’autre part. @

Le statut juridique et le régime applicable aux câbles sous-marins gagnent à être assouplis

Publié le par

Véritable « pont entre les hommes », les réseaux de câbles sous-marins en fibre optique font partie des infrastructures internationales qui se singularisent par leur technicité, leur importance vitale pour l’économie et la sécurité nationale, et leur vulnérabilité. Leur régulation hétérogène s’assouplit.

Par Marta Lahuerta Escolano, avocate counsel, Jones Day

D’après l’Union internationale des télécommunications (UIT), le câble sous-marin de communication est « un câble posé dans le fond marin, ou ensouillé à faible profondeur, destiné à acheminer des communications » (1). Les câbles sous-marins utilisent la fibre optique pour transmettre les données à la vitesse de la lumière. Un peu plus de 420 câbles sont enfouis dans les profondeurs des océans à travers le monde (2) et assurent 99 % des communications mondiales via les échanges téléphoniques et l’accès à Internet.

Plusieurs problématiques demeurent
Malgré la pose du premier câble sous-marin avec succès durant le XIXe siècle, ces infrastructures restent peu connues et plusieurs problématiques demeurent quant à leur statut juridique et au régime régissant leur construction, pose et atterrissement. Un câble sous-marin a vocation à traverser de multiples milieux : terrestre ou maritime, d’une part, et espace cyber ou physique, d’autre part. Cette hétérogénéité d’environnements rencontrés par le réseau de câble sous-marin se matérialise par un encadrement juridique dispersé (3). Le caractère international des câbles sous-marins qui relient souvent plusieurs Etats – à titre illustratif, le câble sous-marin « 2Africa » s’étend sur 45.000 km et a pour but de relier 33 pays – créé des difficultés juridiques à maints niveaux. A la question des droits conférés et obligations imposées aux constructeurs, propriétaires et poseurs de câbles traversant plusieurs Etats, se rajoute celle de la protection de ces infrastructures critiques.
L’essentiel du droit international applicable à la pose des câbles sous-marins est issu de la Convention des Nations Unies sur le droit de la mer – Convention de Montego Bay (CMB) du 10 décembre 1982. Elle reprend et complète les dispositions essentielles des conventions de Paris de 1884 sur la protection des câbles sous-marins et de Genève de 1958 sur le droit de la mer. La CMB fournit une division juridique de la mer en plusieurs espaces maritimes, le régime juridique international applicable étant différent dans chacun de ces espaces (4). La mer territoriale (5) fait partie intégrante du territoire souverain des Etats. En conséquence, l’Etat côtier a le droit de légiférer et règlementer la pose de câbles dans cette zone. La pose de câbles sous-marins dans la mer territoriale est souvent soumise à une autorisation administrative de l’autorité compétente pour l’utilisation du domaine public maritime. A tout le moins, les Etats côtiers exigent une demande formelle de pose de câble sous-marin émise par le poseur avec l’assistance du propriétaire du câble sous-marins. Cette autorisation peut également être assortie du paiement d’une taxe ou redevance. Ainsi, en France, la redevance applicable aux câbles sous-marins posés dans les eaux sous souveraineté française est établie par mètre linéaire de câble (6). Au-delà de la mer territoriale, la CMB pose un principe de liberté selon lequel tous les Etats ont le droit de poser des câbles sousmarins sur le plateau continental (7) – fonds marins et leur sous-sol au-delà de la mer territoriale de l’Etat côtier (8) – et dans la zone économique exclusive (ZEE) (9). Cependant, cette liberté reste soumise aux pouvoirs réservés à l’Etat côtier qui peut prendre des mesures raisonnables pour protéger ses îles artificielles, ouvrages et installations déployées dans ces zones ou pour garantir l’exercice de son droit d’exploration et d’exploitation du plateau continental (10).
En principe, l’Etat côtier ne devrait pas soumettre la pose de câbles sous-marins à une autorisation dans cette zone. Il peut en revanche demander à ce que le tracé des câbles sousmarins dans cette zone lui soit communiqué. Il pourra ainsi demander sa modification le cas échéant. En conséquence, dans cette zone, la pose de câble est libre en prenant en compte les droits et obligations de l’Etat côtier.
La liberté en matière de pose de câbles sous-marins n’est totale qu’en haute mer ou dans les eaux internationales – tout l’espace maritime qui s’étend au-delà de la ZEE et du plateau continental (11) – où tous les Etats, côtiers ou non, ont « la liberté de poser des câbles et des pipelines sous-marins » (12).

Droits régional, national et privé
Les sources internationales du droit applicable aux câbles sous-marins sont complétées par un ensemble de sources régionales, bilatérales et multilatérales.
Droit régional. Des organismes régionaux se sont intéressés à l’encadrement des câbles sous-marins en formulant des lignes et directives à l’attention de leurs Etats membres. Tel est le cas de la Communauté économique des Etats de l’Afrique de l’Ouest (CEDEAO) qui à travers un règlement de 2012, a adopté un ensemble de règles fixant les conditions d’accès aux stations d’atterrissement des câbles sous-marins (13). Ainsi, en son article 4.1, le règlement impose aux Etats membres d’encourager l’octroi des licences aux nouvelles stations d’atterrissement des câbles sousmarins. Afin de favoriser un accès équitable à la bande passante, les Etats membres doivent veiller, lorsqu’ils attribuent des licences aux opérateurs, à y insérer des dispositions sur l’accès ouvert aux stations d’atterrissement de câbles et sur la mise à disposition de capacités internationales sur une base non discriminatoire (14).
Certaines conventions bilatérales et multilatérales organisent également les rapports des Etats en matière de pose de câbles sous-marins. On pourra citer, à titre d’exemple, l’accord conclu en 2009 entre l’Estonie, la Lettonie la Lituanie et la Suède prévoyant la construction d’un câble sous-marin à haute tension sous la mer Baltique.

La régulation nationale s’assouplie
Droit national. Les réseaux de câbles sous-marins sont soumis au droit international, mais sont également encadrés par les législations nationales. Dans l’ordre interne, les Etats souverains soumettent la pose, l’atterrissement et l’exploitation des câbles sous-marins à divers régimes juridiques. Les câbles sous-marins sont ainsi régis par divers domaines de droit, en particulier, le droit des communications électroniques (s’agissant de réseaux de communications électroniques), le droit public et immobilier (notamment les règles du domaine public maritime), le droit environnementale (notamment des études l’impact sur l’environnement, le milieu marin ou autre), le droit de la propriété industrielle (droit d’inventeur), le droit de la cybersécurité, le droit de la défense et le droit pénal (dont les sanctions en cas de détérioration du réseau).
Ainsi, en France, la pose des câbles sous-marins s’apparente à l’utilisation du domaine public maritime. Or, il résulte de l’article L.2124-3 du code général de la propriété des personnes publiques (CGPPP) que de telles utilisations doivent se faire par le biais de concessions d’utilisation du domaine public (15). Il existe toutefois une procédure permettant d’obtenir de simples autorisations temporaires lorsque le projet de câble n’a pas vocation à être ouvert au public par exemple. En vertu du CGPPP, la demande doit être adressée au préfet maritime du département dans lequel la pose du câble doit s’opérer et, lorsque la demande concerne plusieurs départements, un seul préfet chargé de coordonner l’instruction de la demande sera nommé suivants les dispositions du décret de 2004 relatif aux pouvoirs des préfets (16).
Aujourd’hui, les législations nationales en matière de pose de câbles sous-marins s’assouplissent de plus en plus dans le but d’offrir le cadre juridique le plus attractif possible pour favoriser l’implantation de nouveaux câbles sous-marins. Cette tendance s’illustre en France par la circulaire du Secrétaire général de la mer du 13 novembre 2020 (17) qui a pour but de rationaliser les procédures administratives en matière de câbles sous-marins de communication. Cet effort de simplification est très bienvenu pour les porteurs de projets de câbles sous-marins internationaux. La complexité d’un dossier n’est pas seulement technique, les négociations peuvent être longues avec les gouvernements et toutes les parties prenantes. Toute initiative visant à faciliter le déploiement du câble sera prise en considération par les propriétaires de câbles pour définir les points d’atterrissage.
Droit privé. Le propriétaire privé d’un câble sous-marin est souvent une entreprise unique, comme c’est le cas du câble sous-marin Equiano de Google, ou bien un consortium d’entreprises, comme pour les câbles « 2Africa », « Africa-1 » ou « ACE ». Le projets de déploiement de câble sous-marin entraînent une architecture contractuelle assez complexe, à commencer par l’accord de confidentialité, suivi par : le protocole d’accord ou Memorandum of Understanding (MoU) ; le Joint Build Agreement (JBA) régissant les relations entre les différents entités faisant partie d’un consortium ; le contrat de construction et maintenance (C&MA) ; le Joint System Maintenance Document (JSMD) expliquant les aspects techniques et de sécurité du câble sous-marin ; le contrat de construction de la branche ; le contrat d’atterrissement (LPA/LSA) ; les accords de croisements d’autres câbles ou de pipelines préexistants.
Quant à la protection des câbles sous-marins, elle résulte d’un régime défini par la Convention internationale relative à la protection des câbles sous-marins signée à Paris en 1884. La CMB (Convention de Montego Bay) reprend certaines de ces dispositions et prévoit notamment l’obligation pour les Etats de sanctionner la détérioration ou la rupture d’un câble (18). Cependant, les mesures de protection prévues dans ces textes ne sont pas suffisantes face aux menaces et à l’importance critique de ces infrastructures. Les câbles sous-marins ont ainsi été des cibles en temps de guerre. La convention de Paris de 1884 laissait une liberté d’action aux belligérants en temps de guerre. Ceux-ci pouvaient alors sectionner des câbles sous-marins. La convention de Paris n’offrait de protection aux câbles sous-marins qu’en dehors des temps de guerre. Cette protection a été reprise par la CMB. Le Comité international de protection des câbles créé en 1958 poursuit cette oeuvre de protection en édictant des recommandations internationales pour l’installation, la protection et la maintenance des câbles.

Guerres : renforcer le cadre juridique
En août 2014, la Russie a sectionné des câbles sous-marins ukrainiens au cours de l’opération d’annexion de la Crimée. L’intensité du conflit en cours entre l’Ukraine et la Russie et la menace d’une occupation par la Russie d’Odessa, le plus grand port maritime d’Ukraine, fait ressurgir les craintes liées au risque de section des câbles sous-marins. Dans ce contexte, il est essentiel de renforcer le cadre juridique protégeant les câbles sous-marins. L’exercice ne sera pas facile, étant donnée la nature hybride de ces infrastructures qui peuvent être utilisées à des fins tant civiles que militaires. @

Droits d’auteur : musiciens et artistes peuvent s’affranchir des sociétés de gestion collective

Publié le par

Les Sacem, Sabam, Gema et autres SACD – sociétés de gestion collective des droits d’auteur et/ou des droits voisins des créateurs – ne sont plus des passages obligés pour les artistes en Europe à l’ère du streaming. Des « entités de gestion indépendantes » comme Bridger peuvent les concurrencer.

La directive européenne du 26 février 2014 concernant la gestion collective du droit d’auteur et des droits voisins dans la musique – censée être transposée par les Vingt-sept depuis six ans (1) – a ouvert ce marché européen toujours dominé par la Sacem (France), la Gema (Allemagne), la Sabam (Belgique), la Sgae (Espagne) ou encore la Siae (Italie). Elle a créé un statut d’« entité de gestion indépendante », ou IME (2) en anglais, dont l’activité principale est de gérer le droit d’auteur ou les droits voisins du droit d’auteur pour le compte de titulaires.

IME : Soundreef, MPLC, Bridger, …
Ces entités à but lucratif sont « indépendantes » dans le sens où elles ne sont détenues ni contrôlées par des titulaires de droits, contrairement aux sociétés de gestions collective. Mais qu’elles soient « indépendantes » ou « collectives », ces organisations sont toutes – conformément à la directive européenne de 2014 – soumises à des obligations en matière de gestion et de transparence, notamment sur les aspects financiers de l’exploitation des droits. Plusieurs sociétés ont obtenu ce sésame IME en Europe pour « disrupter » ce marché du copyright management telles que Soundreef en Italie, Motion Picture Licensing Company (MPLC) en Grande-Bretagne ou encore Bridger en France.
Cette dernière est une filiale du groupe belge Audiovalley fondé en 2003 par Alexandre Saboundjian (photo de gauche). Une autre de ses filiales, Jamendo (3), avait aussi obtenu en février ce statut d’IME au Luxembourg (4). « Ces deux filiales ont le statut IME aujourd’hui, mais seule la société Bridger est appelée à le porter à l’avenir », indique à Edition Multimédi@ Jocelyn Seilles (photo de droite), fondateur et directeur général de Bridger. Cette nouvelle IME a été lancée officiellement le 13 avril dernier. « Ouverte aux auteurs-compositeurs du monde entier, Bridger collecte et répartit les droits d’auteur générés par le streaming des œuvres musicales. Elle s’adresse aux auteurs-compositeurs indépendants qui ne sont pas affiliés à une société de gestion collective, ainsi qu’aux auteurs-compositeurs qui souhaitent bénéficier d’un service 100 % digital en complément de leur affiliation à une société de gestion collective », explique la nouvelle société Bridger. Edition Multimédi@ a voulu savoir si des compositeurs, des artistes interprètes, des scénaristes ou des réalisateurs – soit des auteurs dans la musique, dans l’audiovisuel et/ou dans le cinéma – pouvaient s’affranchir des sociétés de gestion collective comme la Sacem (5) ou la SACD (6), ou d’autres en Europe et parfois en situation de « monopole légal » localement, pour ne s’en remettre qu’à des IME. La réponse est oui, mais : «Un musicien peut tout à fait quitter la Sacem et n’être qu’avec Bridger pour la collecte de ses droits d’auteur. Toutefois en faisant cela, il se priverait de ses droits radio et télé que Bridger ne collecte pas encore. C’est pourquoi, il est peut-être plus intéressant pour un auteur-compositeur de rejoindre Bridger uniquement sur la partie digitale. Cela dépend de chaque projet musical. Si un artiste génère 100 % de ses droits sur les plateformes de streaming, alors il vaut mieux pour lui qu’il rejoigne Bridger », nous a expliqué un porte-parole de la filiale d’Audiovalley. Bridger collecte les droits issus du digital (streaming mais aussi téléchargement) et nous indique qu’elle prévoit d’intégrer une partie de ceux de l’audiovisuel : « Dans le futur, nous collecterons les droits des auteurs et compositeurs des musiques utilisées/synchronisées dans des productions audiovisuelles (de tous types) au titre de leur mise à disposition publique par les plateformes digitales, mais nous ne revendiquerons pas les droits d’auteur des réalisateurs, scénaristes, etc. de ces mêmes productions ». Pour les droits liés à la radio et à la télévision, il est prévu de conclure des accords de réciprocité et de représentation avec les sociétés de gestion collective. Mais cela se fera en fonction des besoins exprimés par les membres de Bridger qui sont plutôt orientés streaming.
Les nouveaux entrants IME sur ce marché mondial très lucratif de la collecte et de la gestion des droits d’auteur et droits voisins s’appuient sur les métadonnées (metadata) qui permettent d’identifier en ligne chaque morceau de musique et qui composent le registre des oeuvres musicales (7).

Streaming : 600 M€ mal et pas reversés
La blockchain et les NFT vont accélérer dans musique la redistribution des cartes et des rémunérations (8). Ces technologies du Web3 mettent un terme à la fameuse « boîte noire » constituée par les royalties que les plateformes de streaming (Spotify, Deezer, Qobuz, …) n’ont pas pu reverser à leurs auteurs faute d’avoir été identifiés : selon, l’association britannique de musiciens indépendants Ivors Academy (9), au moins 600 millions d’euros de redevances « ne sont pas attribuées ou mal attribuées ». @

Charles de Laubier