Expertises
Droit, technologies & prospectives
interview / Pierre DESMARAIS
Extra - Territorialité: menaces et solution
Droit, technologies & prospectives
Tous les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros
Sommaire
Edito
Focus
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
Doctrines
L’« AI Act » : dernier point d’étape avant l’adoption
eIDAS V2 inaugure un service de confiance très attendu : l’archivage électronique
L’AFCDP : l’association des DPO depuis 20 ans
Validation par la Cnil de l’hébergement du HDH La souveraineté numérique est l’affaire de tous
Défis et préalables pour son usage en inforensique…
Le consentement : une base légale parfois inadaptée
L'édito du mois
Extraterritorialité: menaces et solutions
Au moment où le règlement sur les services numériques (le DSA) devient applicable à toutes les plateformes, leur imposant notamment des obligations renforcées en matière de modération, la Cour suprême des Etats-Unis doit se prononcer sur la constitutionalité de deux lois interdisant aux réseaux sociaux de « censurer » les internautes. En 2021, la Floride avait voté une loi prohibant toute intervention des grands réseaux sociaux sur les publications de candidats politiques ou d’« entreprises journalistiques » et le Texas avait adopté une loi interdisant aux grandes plateformes d’exclure un utilisateur ou de modérer ses messages en raison de ses opinions. Les débats devant la Cour suprême ont débuté le 26 février dernier mais la décision n’est pas attendue avant plusieurs mois.
En Europe, la question de la modération est beaucoup plus consensuelle. Depuis le 25 août 2023 pour les très grandes plateformes en ligne – 22 dont une majorité américaine -, et depuis le 17 février 2024 pour toutes les plateformes, le DSA impose de mettre en place des mécanismes simples et efficaces pour signaler les contenus illicites publiés sur des plateformes. Ce règlement, comme le RGPD, a une portée extraterritoriale puisqu’il s’applique dès lors que ces plateformes ont des utilisateurs dont le lieu d’établissement ou de résidence se situe dans l’Union européenne et ce même si elles ne sont pas elles-mêmes établies dans l’UE (article 1 bis, considérant 8). Ainsi, X, Meta, TikTok et autres plateformes diffusant du contenu sont-elles contraintes de se soumettre aux exigences du DSA, au risque de s’exposer à des amendes jusqu’à 6 % du chiffre d’affaires annuel mondial de l’exercice précédent. Ce qui n’empêche pas X de faire de la résistance. Le 18 décembre dernier, la Commission européenne a lancé une enquête approfondie contre la plateforme d’Elon Musk, soupçonnée de ne pas remplir ses obligations sur la modération des contenus illégaux et la lutte contre la désinformation.
Alors qu’en Europe, on reproche à certaines plateformes comme X d’être laxistes, la situation aux Etats-Unis est toute autre. Les opposants à toute velléités de filtrage des contenus, même les plus odieux, rencontrent de plus en plus d’adhésion, notamment depuis le grand retour de Donald Trump. D’ailleurs les deux lois que la Cour suprême doit examiner ont été adoptées dans ce contexte suite à l’envahissement du Capitole en janvier 2021 et au bannissement des réseaux sociaux de Donald Trump.
Les tenants d’une parole sans entrave sur le web en appellent à la liberté d’expression, sanctuarisée par le 1er amendement de la Constitution. Et les défenseurs des réseaux sociaux aussi. NetChoice et la Computer and Communications Information Association CCIA, auteurs du recours devant la Cour suprême, considèrent que les législations de Floride et du Texas restreignent de manière inconstitutionnelle le droit des réseaux sociaux, en vertu du 1er amendement, de faire leurs propres choix éditoriaux sur leurs sites, les obligeant à diffuser du contenu qui viole leurs règles ou en limitant leur capacité à les filtrer ou à les supprimer – que ce soit manuellement ou avec des algorithmes. Elles estiment que ces plateformes devraient être traitées comme les journaux lorsqu’ils modèrent du contenu. En plus du statut d’hébergeur, elles voudraient bénéficier de celui d’éditeur ! Quant à l’Etat du Texas, il soutient que les réseaux sociaux devraient être considérés comme une infrastructure de communication, ne pouvant pratiquer aucune discrimination.
Depuis l’affaire Licra c/ Yahoo, de 2000, au cours de laquelle Yahoo avait invoqué la liberté d’expression pour refuser de filtrer des contenus vers les Français, le 1er amendement de la Constitution américaine continue de représenter un point de divergence avec l’approche européenne. De ce côté de l’Atlantique, la liberté d’expression est également garantie mais elle a des limites. Et le droit européen assigne désormais aux plateformes un rôle pour veiller à ce que ces limites ne soient pas dépasser sur notre territoire, même aux sites américains. Le DSA sera-t-il assez robuste ?
Le focus du mois
Le consentement dévoyé
Une étude de l’UFC Que choisir interroge sur la pertinence du principe du consentement consenti sur le web dans l’ignorance de la manière dont les données sont exploitées par un écosystème opaque composé de milliers de sociétés.
En 2023, la Cnil a prononcé 42 sanctions s’élevant à près de 90 millions d’euros dont une amende de 75 000 € à l’encontre d’un data broker français (*) qui avait collecté des données de prospects sans consentement valide, du fait de l’apparence trompeuse de ses formulaires de jeux-concours. L’importance de ces sanctions ne doit cependant pas faire oublier les échecs du RGPD. L’UFC Que choisir a publié une étude édifiante sur le dévoiement quasi systémique du principe du consentement par la collecte et du partage de données des internautes par des acteurs du web pour la publicité ciblée.
Bien que le RGPD soit un texte protecteur, il reste mal appliqué particulièrement sur internet. Le modèle économique basé sur la fourniture d’informations et de services gratuits, en échange des données personnelles au service de la publicité ciblée, perdure. Si les internautes savent aujourd’hui qu’ils sont « le produit », la plupart ignorent bien souvent la manière dont leurs données sont collectées et exploitées par un écosystème assez opaque. « Bien que la majorité des consommateurs ne souhaitent pas être suivis, ils se trouvent dans une asymétrie par rapport aux entreprises dans l’environnement en ligne. Ils sont délibérément maintenus dans l’ignorance de ce qui advient de leurs données personnelles et n’ont guère d’autre choix que de renoncer à utiliser la plupart des services en ligne, bien que ceux-ci jouent un rôle essentiel dans la société actuelle », constate l’UFC.
L’étude de l’UFC intitulée « Les consommateurs pris au piège du big brother commercial », se base sur la sélection d’une dizaine de sites parmi les plus fréquentés en France et montre que les données personnelles collectées sont partagées plus de 4 000 fois avec plus de 1 040 tiers. Ainsi, Allocine.fr communique les données collectées à 786 partenaires, orange.fr à 778, 20minutes.fr à 609, cdiscount.com à 578, leboncoin.fr à 266 ou le lemonde.fr à 169. Ont-ils obtenu le consentement, le précieux sésame du RGPD qui procure une base légale à leurs traitements ?
L’arrêt de la Cour de justice de l’UE du 4 juillet 2023, dans l’affaire Meta, rappelle que le consentement constitue la base légale d’un tel traitement. Recueillir le consentement de l’internaute ne suffit cependant pas, encore faut-il qu’il soit issu d’une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 4 paragraphe 11). Or, l’esprit et le principe du consentement sont bien souvent tordus pour n’en retenir qu’une apparence de conformité. Les sites, et pas seulement ceux des Gafam, contournent ainsi ce fondement légal en recourant, entre autres, aux dark patterns, ces interfaces conçues pour manipuler le libre choix du consommateur en jouant sur le design pour qu’il ne consulte pas les mentions ou donne systématiquement son consentement, ou en imposant des conditions générales interminables et inintelligibles. Selon l’UFC, il faut en moyenne 34 minutes pour lire les CGU d’un site web et celles de Meta prendraient 2 heures et 45 minutes. Personne ne les lit et tout le monde le sait.
Si ces pratiques sont connues et dénoncées par la Cnil ou le Comité européen de la protection des données, l’étude de l’UFC a le mérite de démontrer combien il est difficile, voire impossible, pour un internaute d’exercer ses droits, à cause de la complexité de l’écosystème de l’industrie des données et des pratiques utilisées pour inciter les consommateurs à partager leurs données. Comment exercer ses droits si on ne connaît pas les entreprises qui exploitent nos données ? En effet, la quasi-totalité des tiers traitant les données est inconnue des internautes. Bien que la liste des partenaires puisse être consultée, il est impossible de vraiment comprendre qui ils sont, et à quelle fin ils utilisent les données partagées. Sur la liste des 1 040 « partenaires » citée par l’étude, le consommateur n’en reconnaitra pas plus d’une vingtaine, dont les plateformes en ligne comme YouTube, Amazon, Meta, etc.
Sur ces 1040 destinataires des données, 923 adresses mails ont pu être identifiées et contactées avec une demande d’accès et d’effacement de données personnelles. 83 (8 %) de ces adresses électroniques ne fonctionnaient pas et 374 (35 %) des mails envoyés sont restés sans aucune réponse au bout du délai de 30 jours fixé par le RGPD. Et parmi les 647 entreprises qui potentiellement détiennent des données personnelles, seulement 79 (7 %) proposent donc une démarche relativement simple et convaincante. Et plus de la moitié (54 %) ne fournissent aucun moyen de contact ou ignorent simplement les demandes d’effacement qui leur sont adressées.
L’idée que les consommateurs consentent librement et en connaissance de cause au traitement de leurs données personnelles par le biais de bannières et de conditions générales reste, pour une partie du web, une fiction juridique. Faut-il pour autant jeter ce principe du RGPD ? Fin novembre, le Conseil européen a dressé un bilan plutôt positif du texte. Toutefois, les gouvernements des États membres ont invité la Commission européenne à réaliser « une évaluation globale et exhaustive » de l’application et du fonctionnement du RGPD intégrée au rapport d’examen que l’exécutif européen doit publier l’année prochaine.
Ce serait sans doute l’occasion d’envisager quelques évolutions et une application plus stricte du RGPD pour mettre un terme au détournement de ses principes par certains acteurs du web.
Sylvie ROZENFELD
L'invité du mois
Interview / Pierre Desmarais
Extraterritorialité : menaces et solutions
Le choix de géants du Cloud tels que Microsoft pour héberger nos données de santé dans le Health Data Hub ou Amazon pour la partie gestion du système d’information d’EDF, opérateur d’importance vitale, fait polémique en ce début d’année. Parallèlement, la Direction générale de la sécurité intérieure (DGSI), a lancé une nouvelle alerte sur les risques associés au recours à des cabinets d'audit étranger, en termes d’ingérence étrangère. Mais ces inquiétudes sont-elles fondées ? Le choix de prestataires étrangers, souvent américains, constitue-t-il vraiment une menace en raison d’une potentielle application de lois extraterritoriales telles que le Cloud Act ou FISA ? Pierre Desmarais, avocat en droit du numérique, des données et de l’e-santé, nous répond sans préjugés et de manière pragmatique après avoir étudier les textes en cause. Selon lui le risque existe mais il est quasiment impossible de se passer de technologies étrangères. Dans ce cas, il faut l’évaluer, l’anticiper, puis le gérer. Des solutions existent, même si elles ne sont pas toujours juridiques.
Sylvie Rozenfeld : La Direction générale de la sécurité intérieure (DGSI) a publié, en janvier dernier, une nouvelle note intitulée « Lois extraterritoriales : risques associés au recours à des cabinets d’audit étranger » qui concerne notamment les audits commerciaux, d’acquisition, de mise en conformité avec une réglementation ou encore les audits à l’export dans le cadre de l’intégration d’un produit sur un nouveau marché. Pierre Desmarais, vous êtes avocat en droit du numérique, des données et de l’e-santé. Avant d’envisager ce risque particulier, j’aimerais qu’on évoque d’abord un cas d’actualité relatif aux législations extraterritoriales, le recours à Microsoft comme hébergeur des données du Health Data Hub, validé par une décision du 21 décembre 2023 de la Cnil dans le cadre d’un entrepôt de données de santé européen EMC2 et qui vient de faire l’objet un recours en annulation de l’Internet Society (Isoc) France devant le Conseil d’Etat. La loi américaine, et particulièrement le Cloud Act, figure parmi les menaces mises en avant contre ce choix d’un prestataire étranger. Vous n’êtes pas d’accord avec cette affirmation, pourquoi ?
Pierre Desmarais : D’abord, quand on lit le Cloud Act, pas son résumé ni sa traduction, on se rend compte qu’il concerne seulement la lutte contre le terrorisme et la criminalité organisée. Dans le cadre du HDH, la mise en œuvre du Cloud Act pourrait éventuellement avoir un intérêt pour géolocaliser un criminel, si, par exemple, il a des problèmes rénaux et doit faire des dialyses dans tel établissement. Mais cette lutte suppose que l’on connaisse le nom de la personne ou son identifiant sur un réseau social ou un jeu en ligne ou autre. Il faut savoir quelle personne on cible. Ensuite, cela nécessite une requête devant un juge qui va apprécier ces différents éléments. En l’occurrence, difficile de croire qu’il arriverait à déterminer, avec la pseudonymisation des données dans le HDH, sous quel pseudonyme se « cache » ladite personne.
Le Cloud Act prévoit aussi un système de coopération judiciaire.
Ce texte prévoit la possibilité d’accords avec d’autres Etats pour cadrer les transferts de données et les conditions d’utilisation de ce dispositif. À ma connaissance, aucun Etat de l’Union européenne n’en a. Il reviendrait au prestataire qui se verrait réclamer les données de faire valoir la législation française ou européenne. Si une demande de communication de données viole une législation étrangère, le juge américain pourrait rejeter la demande, sachant qu’il n’a pas la même vision du RGPD ou de la directive sur le secret des affaires que le juge français. Mais est-ce que le juge français en a la même vision qu’un juge allemand ? non. C’est un aléa du droit international privé.
Ensuite, s’agissant du Health Data Hub, Microsoft n’a aucun moyen de déterminer qui figure dans cette base de données car les données font l’objet d’une double pseudonymisation des identifiants par un algorithme. Or, cet algorithme ne permet pas de remonter à l’identité de la personne. Il est donc impossible pour une autorité américaine de saisir un juge en lui demandant les données de telle personne dans le HDH car celui-ci ne serait pas capable de l’identifier. Selon moi, le risque est purement théorique.
Par ailleurs, les données sont chiffrées.
Effectivement. Il y a eu une polémique devant le Conseil d’Etat sur un doute relatif à la question de savoir si Microsoft n’avait une clé de secours. Suite à une des premières décisions du Conseil d’Etat, le HDH a signé un avenant avec Microsoft pour régler le problème du chiffrement.
Pourquoi donc cette polémique autour du Cloud Act ?
Je pense que c’est un effet de mode. On parle de plus en plus de souveraineté numérique, en abandonnant au passage un aspect de notre souveraineté en recourant à une terminologie anglo-saxonne alors que l’article 2 de la Constitution déclare que la langue de la République est le français.
Sans oublier la loi Toubon.
La loi Toubon et un jugement du tribunal administratif de Paris du 20 octobre 2022 (*) qui interdit au HDH de s’appeler ainsi et lui faisant injonction de se nommer Plateforme des données de santé.
Dans sa dernière délibération du 23 décembre 2023 relative au HDH, la Cnil déclare que « les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ». Mais elle ne précise pas la nature du risque. Si, selon vous, le Cloud Act ne présente pas de risques pour les données du HDH, alors de quoi doit-on avoir peur ? L’ordonnance de 13 octobre 2020 du Conseil d’Etat évoque l’article 702 du FISA A…
Les doctrines du mois
L’« AI Act » : dernier point d’étape avant l’adoption
L’Union européenne s’apprête à adopter la première loi au monde spécifiquement dédiée à la réglementation de l’intelligence artificielle. L’AI Act constitue un texte important pour l’IA mais il subsiste encore des interrogations notamment quant aux conséquences sur le droit d’auteur, sa mise en œuvre et le respect de ses dispositions ou son influence sur l’IA en Europe ou sur le développement d’une industrie européenne.
eIDAS V2 inaugure un service de confiance très attendu : l’archivage électronique
L’archivage électronique est un composant essentiel de la preuve numérique puisque celle-ci, contrairement à la preuve papier, est susceptible d’altération au cours du temps. Jusqu’ici, le droit français ne comportait aucune définition de l’archivage électronique et le domaine restait essentiellement technique et normatif. Il en résultait une véritable insécurité juridique et judiciaire au regard de la validité d’un document électronique sur le long terme, amenée à s’aggraver avec l’augmentation de la production de documents dématérialisés à fort enjeu. Le futur Règlement eIDAS V2 vient combler cette lacune.
L’AFCDP : l’association des DPO depuis 20 ans
Le dernier congrès de l’Association française des délégués à la protection des données personnelles (AFCDP) qui s’est tenu en février dernier a été l’occasion de célébrer son vingtième anniversaire.
Validation par la Cnil de l’hébergement du HDH La souveraineté numérique est l’affaire de tous
La Cnil valide le recours de Microsoft comme hébergeur du Health Data Hub HDH, semble-t-il à regret. Cette prise de décision n’est en fait que le résultat d’un effet domino impliquant en réalité tout le monde.
Défis et préalables pour son usage en inforensique…
Le recours aux techniques d’inforensique, dans le cadre d’enquêtes judiciaires en matière pénale et particulièrement de lutte contre la cybercriminalité, exige beaucoup de temps et d'efforts, alors que le temps est compté. L'IA permet de réduire la masse de contenus à analyser, de cibler les données, en fonction d'une plage horodatée, d'un ensemble de mots-clés, de regroupement des résultats individuels d'analyses, etc. Mais les humains restent nécessaires pour examiner les preuves numériques recueillies à l'aide de ces outils et valider les résultats obtenus avec l'IA pour mettre en perspective l'ensemble du dossier et des preuves.
Le consentement : une base légale parfois inadaptée
Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question du consentement donné par des patients en vue de la publication par un hôpital d’informations les concernant sur un compte Instagram.