Expertises
Droit, technologies & prospectives

interview / Pierre DESMARAIS

Extra - Territorialité: menaces et solution

Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

Nos derniers numéros

EXPERTISES N°499 - mars 2024 - Extra -                                                                                                                                                                                                                                         Territorialité: menaces et solution / Pierre DESMARAIS
N°499 – mars 2024
EXPERTISES N°498 - février 2024 - Rassurer les assureurs sur la Blockchain / Nicolas Hélénon, Delphine Mercelat, Emmanuel du Ranquet
N°498 – février 2024
EXPERTISES N°497 - janvier 2024 - FiDA, l’open finance qui fait peur à l’assurance / Anne-Sophie Morvan
N°497 – janvier 2024
EXPERTISES N°496 - décembre 2023 - Le droit, créateur d’un marché de la donnée / Marie-Hélène Tonnellier
N°496 – décembre 2023
EXPERTISES N°495 - novembre 2023 - L’Europe de la donnée, malgré les différences / Simon Chignard
N°495 – novembre 2023
EXPERTISES N°494 - octobre 2023 - Se défendre dans la jungle des noms de domaine wEB3 / Matthieu Quiniou
N°494 – octobre 2023
EXPERTISES N°493 - septembre 2023 - RGPD & Droit de la concurrence « Entente » mode d’emploi / Richard Milchior
N°493 – septembre 2023
EXPERTISES N°492 - juillet 2023 - DPO : un métier en souffrance / Bruno RASLE
N°492 – juillet 2023
EXPERTISES N°491 - juin 2023 - L’UE s’investit dans les crypto-actifs / Arnaud Touati
N°491 – juin 2023
EXPERTISES N°490 - mai 2023 - Transhumanisme : un changement de civilisation / Amandine Cayol, Emilie Gaillard et Coline Vuillermet
N°490 – mai 2023
EXPERTISES N°489 - avril 2023 - Anonymiser : une question de gestions de risques / Maryline Laurent
N°489 – avril 2023
EXPERTISES N°488 - mars 2023 - Actifs immatériels : Une valeur encore trop sous-estimée / Sylvie Gamet
N°488 – mars 2023
EXPERTISES N°487 - février 2023 - Flux transatlantique de données : Des progrès mais… / Bradley Joslove
N°487 – février 2023
EXPERTISES N°486 - janvier 2023 - L’intelligence juridique : pour un juriste stratège / Véronique Chapuis-Thuault
N°486 – janvier 2023
EXPERTISES N°485 - décembre 2022 - Les problématiques virtuelles des métavers / Caroline Laverdet
N°485 – décembre 2022
EXPERTISES N°484 - novembre 2022 - BIG DATA DEMATERIALISATION DU REEL / Antoinette Rouvroy
N°484 – novembre 2022
EXPERTISES N°483 - octobre 2022 - Intelligence artificielle : Vers une justice plus sécurisée / Thomas Cassuto
N°483 – octobre 2022
EXPERTISES N°482 - septembre 2022 - MiCA, un règlement qui manque de hauteur / Pierre Storrer
N°482 – septembre 2022
EXPERTISES N°481 - juillet 2022 - Néobanques, le far west bancaire / Aude Poulain de Saint Père
N°481 – juillet 2022
EXPERTISES N°480 - juin 2022 - Géopolitique du numérique et risque de fragmentation / HENRI VERDIDER
N°480 – juin 2022
EXPERTISES N°479 - mai 2022 - Ransomware : payez la rançon l'assurance rembourse / Valéria FAURE-MUNTIAN
N°479 – mai 2022
EXPERTISES N°478 - avril 2022 - RÉDUIRE LA POLLUTION DU NUMÉRIQUE : UNE LOI PIONNIÈRE / Patrick CHAIZE et Frédéric BORDAGE
N°478 – avril 2022
EXPERTISES N°477 - mars 2022 - LE CASSE-TETE DE LA FISCALITE DES CRYPTO-MONNAIES / Frédéric poilpré
N°477 – mars 2022
EXPERTISES N°476 - février 2022 - Véhicule connecté : l'enjeu des données / Romain Perray
N°476 – février 2022
EXPERTISES N°475 - janvier 2022 - DROIT DU LOGICIEL : ETAT DES LIEUX / Bernard LAMON
N°475 – janvier 2022
EXPERTISES N°474 - décembre 2021 - Open data judiciaire : Un lancement prudent / Estelle Jond-Necand
N°474 – décembre 2021
EXPERTISES N°473 - novembre 2021 - La data au cœur des investigations internes / Jean-Julien Lemonnier
N°473 – novembre 2021
EXPERTISES N°472 - octobre 2021 - ROMAIN DARRIERE / INFLUENCEURS VERS LA MATURITÉ
N°472 – octobre 2021
EXPERTISES N°471 - septembre 2021 - ENTENTES ALGORITHMIQUES / NATASHA TARDIF
N°471 – septembre 2021
EXPERTISES N°470 - juillet 2021 - Brevets IA : les écueils à éviter / Mathias Robert
N°470 – juillet 2021
EXPERTISES N°469 - juin 2021 - IA : POUR UN DROIT DE RUPTURE / ALAIN BENSOUSSAN
N°469 – juin 2021
EXPERTISES N°468 - mai 2021 - Néoassurance, un modèle qui émerge / Christophe Dandois
N°468 – mai 2021
EXPERTISES N°467 - mars 2021 - Humain / machine : la nouvelle division du travail juridique / Olivier CHADUTEAU
N°467 – mars 2021
EXPERTISES N°466 - mars 2021 - DSA/DMA : CHANGEMENT DANS LA CONTINUITÉ / ANNE COUSIN ET JEAN-MATHIEU COT
N°466 – mars 2021
EXPERTISES N°465 - février 2021 - CMP : UN PASSEUR DE CONSENTEMENT / Romain BESSUGES-MEUSY
N°465 – février 2021
EXPERTISES N°464 - janvier 2021 - L’expertise-conciliation : pacifier les litiges / Fabien CLEUET et François-Pierre LANI
N°464 – janvier 2021
EXPERTISES N°463 - décembre 2020 - Matching prédictif un recrutement biaisé / Stéphanie Lecerf
N°463 – décembre 2020
EXPERTISES N°462 - novembre 2020 - La révolution open banking / Thibault Verbiest
N°462 – novembre 2020
EXPERTISES N°461 - octobre 2020 - IA en procès / Yannick Meneceur
N°461 – octobre 2020
EXPERTISES N°460 - septembre 2020 - Smart city : intérêt général by design / Jacques Priol
N°460 – septembre 2020
EXPERTISES N°459 - juillet 2020 - Transmettre l'immatériel / David Ayache
N°459 – juillet 2020
EXPERTISES N°458 - juin 2020 - Les racines de notre dépendance technologique / Christian HARBULOT
N°458 – juin 2020
EXPERTISES N°457 - mai 2020 - Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” title=”EXPERTISES N°457 – mai 2020 – Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” description=”EXPERTISES N°457 – mai 2020-  Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova”></div>
<div class=N°457 – mai 2020
EXPERTISES N°456 - avril 2020 - Pour l’ouverture<br>des données privées / Laurent Lafaye” title=”EXPERTISES N°456 – avril 2020 – Pour l’ouverture<br>des données privées / Laurent Lafaye” description=”EXPERTISES N°456 – avril 2020-  Pour l’ouverture<br>des données privées / Laurent Lafaye”></div>
<div class=N°456 – avril 2020
EXPERTISES N°455 - mars 2020 - Profilage :<br> pratiques & parades / Cédric Lauradoux” title=”EXPERTISES N°455 – mars 2020 – Profilage :<br> pratiques & parades / Cédric Lauradoux” description=”EXPERTISES N°455 – mars 2020-  Profilage :<br> pratiques & parades / Cédric Lauradoux”></div>
<div class=N°455 – mars 2020
EXPERTISES N°454 - février 2020 - La robustesse de<br>la PI face A l’IA / Franck Macrez” title=”EXPERTISES N°454 – février 2020 – La robustesse de<br>la PI face A l’IA / Franck Macrez” description=”EXPERTISES N°454 – février 2020-  La robustesse de<br>la PI face A l’IA / Franck Macrez”></div>
<div class=N°454 – février 2020
EXPERTISES N°453 - janvier 2020 - RGPD : une révolution dans la continuité / Ariane MOLE
N°453 – janvier 2020
EXPERTISES N°452 - décembre 2019 - le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” title=”EXPERTISES N°452 – décembre 2019 – le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” description=”EXPERTISES N°452 – décembre 2019-  le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche”></div>
<div class=N°452 – décembre 2019
EXPERTISES N°451 - novembre 2019 - Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” title=”EXPERTISES N°451 – novembre 2019 – Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” description=”EXPERTISES N°451 – novembre 2019-  Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus”></div>
<div class=N°451 – novembre 2019
EXPERTISES N°450 - octobre 2019 - Numérique :<br>le défi fiscal / Frédéric Douet” title=”EXPERTISES N°450 – octobre 2019 – Numérique :<br>le défi fiscal / Frédéric Douet” description=”EXPERTISES N°450 – octobre 2019-  Numérique :<br>le défi fiscal / Frédéric Douet”></div>
<div class=N°450 – octobre 2019
EXPERTISES N°449 - septembre 2019 - L'impérialisme<br>juridique / Olivier de Maison Rouge” title=”EXPERTISES N°449 – septembre 2019 – L’impérialisme<br>juridique / Olivier de Maison Rouge” description=”EXPERTISES N°449 – septembre 2019-  L’impérialisme<br>juridique / Olivier de Maison Rouge”></div>
<div class=N°449 – septembre 2019
EXPERTISES N°448 - juillet 2019 - DPO : un métier<br>qui s’installe / Paul Olivier Gibert” title=”EXPERTISES N°448 – juillet 2019 – DPO : un métier<br>qui s’installe / Paul Olivier Gibert” description=”EXPERTISES N°448 – juillet 2019-  DPO : un métier<br>qui s’installe / Paul Olivier Gibert”></div>
<div class=N°448 – juillet 2019
EXPERTISES N°447 - juin 2019 - Le RGPD : du droit sans vision stratégique / Julien Nocetti
N°447 – juin 2019
EXPERTISES N°446 - mai 2019 - IGN : la gratuitE des données en question / Marie Pisan
N°446 – mai 2019
EXPERTISES N°445 - avril 2019 - Nom de domaine un actif et des risques / Nathalie Dreyfus
N°445 – avril 2019
EXPERTISES N°444 - mars 2019 - Les logiciels libres, un modèle mature / Benjamin Jean
N°444 – mars 2019
EXPERTISES N°443 - février 2019 - Résister à la gouvernance algorithmique / François Pellegrini
N°443 – février 2019
EXPERTISES N°442 - janvier 2019 - Anticiper sa survie numérique au-delà de sa mort / Mathieu Fontaine
N°442 – janvier 2019
EXPERTISES N°441 - décembre 2018 - Intelligence artificielle et médecine quelle éthique pour demain ? / David Gruson
N°441 – décembre 2018
EXPERTISES N°440 - novembre 2018 - Blockchain AS A SERVICE Démocratisation de la blockchain ? / Marc-Antoine Ledieu
N°440 – novembre 2018
EXPERTISES N°439 - octobre 2018 - Nathalie Nevejans / Nathalie Nevejans
N°439 – octobre 2018
EXPERTISES N°438 - septembre 2018 - Pour la médiation judiciaire en  propriété  intellectuelle / Françoise Barutel Naulleau
N°438 – septembre 2018
EXPERTISES N°437 - juillet 2018 - Science-fiction : quand l’imaginaire devient source de droit / Fabrice Defferrard
N°437 – juillet 2018
EXPERTISES N°436 - juin 2018 - CONTRATS, Accès indirects & coûts cachés : SAP BRISE LA GLACE AVEC Ses utilisateurs / Gianmaria Perancin
N°436 – juin 2018
EXPERTISES N°435 - mai 2018 - L’innovation prédatrice Un nouveau défi pour le droit de la concurrence / Thibault Schrepel
N°435 – mai 2018
EXPERTISES N°434 - avril 2018 - LES données LA NOUVELLE INGENIéRIE  DU POUVOIR / Adrien Basdevant
N°434 – avril 2018
EXPERTISES N°433 - mars 2018 - L’open data de la jurisprudence : Le casse-tête de l’anonymisation / Loïc Cadiet
N°433 – mars 2018
EXPERTISES N°432 - février 2018 - RGPD : vers un futur standard global / Max Schrems
N°432 – février 2018
EXPERTISES N°431 - janvier 2018 - L’angoisse du RGPD la Cnil rassure / Jean Lessi
N°431 – janvier 2018
EXPERTISES des systèmes d’informationmars 2024 – N°499

L'édito du mois

Extraterritorialité: menaces et solutions

Au moment où le règlement sur les services numériques (le DSA) devient applicable à toutes les plateformes, leur imposant notamment des obligations renforcées en matière de modération, la Cour suprême des Etats-Unis doit se prononcer sur la constitutionalité de deux lois interdisant aux réseaux sociaux de « censurer » les internautes. En 2021, la Floride avait voté une loi prohibant toute intervention des grands réseaux sociaux sur les publications de candidats politiques ou d’« entreprises journalistiques » et le Texas avait adopté une loi interdisant aux grandes plateformes d’exclure un utilisateur ou de modérer ses messages en raison de ses opinions. Les débats devant la Cour suprême ont débuté le 26 février dernier mais la décision n’est pas attendue avant plusieurs mois.
En Europe, la question de la modération est beaucoup plus consensuelle. Depuis le 25 août 2023 pour les très grandes plateformes en ligne – 22 dont une majorité américaine -, et depuis le 17 février 2024 pour toutes les plateformes, le DSA impose de mettre en place des mécanismes simples et efficaces pour signaler les contenus illicites publiés sur des plateformes. Ce règlement, comme le RGPD, a une portée extraterritoriale puisqu’il s’applique dès lors que ces plateformes ont des utilisateurs dont le lieu d’établissement ou de résidence se situe dans l’Union européenne et ce même si elles ne sont pas elles-mêmes établies dans l’UE (article 1 bis, considérant 8). Ainsi, X, Meta, TikTok et autres plateformes diffusant du contenu sont-elles contraintes de se soumettre aux exigences du DSA, au risque de s’exposer à des amendes jusqu’à 6 % du chiffre d’affaires annuel mondial de l’exercice précédent. Ce qui n’empêche pas X de faire de la résistance. Le 18 décembre dernier, la Commission européenne a lancé une enquête approfondie contre la plateforme d’Elon Musk, soupçonnée de ne pas remplir ses obligations sur la modération des contenus illégaux et la lutte contre la désinformation.
Alors qu’en Europe, on reproche à certaines plateformes comme X d’être laxistes, la situation aux Etats-Unis est toute autre. Les opposants à toute velléités de filtrage des contenus, même les plus odieux, rencontrent de plus en plus d’adhésion, notamment depuis le grand retour de Donald Trump. D’ailleurs les deux lois que la Cour suprême doit examiner ont été adoptées dans ce contexte suite à l’envahissement du Capitole en janvier 2021 et au bannissement des réseaux sociaux de Donald Trump.
Les tenants d’une parole sans entrave sur le web en appellent à la liberté d’expression, sanctuarisée par le 1er amendement de la Constitution. Et les défenseurs des réseaux sociaux aussi. NetChoice et la Computer and Communications Information Association CCIA, auteurs du recours devant la Cour suprême, considèrent que les législations de Floride et du Texas restreignent de manière inconstitutionnelle le droit des réseaux sociaux, en vertu du 1er amendement, de faire leurs propres choix éditoriaux sur leurs sites, les obligeant à diffuser du contenu qui viole leurs règles ou en limitant leur capacité à les filtrer ou à les supprimer – que ce soit manuellement ou avec des algorithmes. Elles estiment que ces plateformes devraient être traitées comme les journaux lorsqu’ils modèrent du contenu. En plus du statut d’hébergeur, elles voudraient bénéficier de celui d’éditeur ! Quant à l’Etat du Texas, il soutient que les réseaux sociaux devraient être considérés comme une infrastructure de communication, ne pouvant pratiquer aucune discrimination.
Depuis l’affaire Licra c/ Yahoo, de 2000, au cours de laquelle Yahoo avait invoqué la liberté d’expression pour refuser de filtrer des contenus vers les Français, le 1er amendement de la Constitution américaine continue de représenter un point de divergence avec l’approche européenne. De ce côté de l’Atlantique, la liberté d’expression est également garantie mais elle a des limites. Et le droit européen assigne désormais aux plateformes un rôle pour veiller à ce que ces limites ne soient pas dépasser sur notre territoire, même aux sites américains. Le DSA sera-t-il assez robuste ?

Le focus du mois

RGPD

Le consentement dévoyé

Une étude de l’UFC Que choisir interroge sur la pertinence du principe du consentement consenti sur le web dans l’ignorance de la manière dont les données sont exploitées par un écosystème opaque composé de milliers de sociétés.

En 2023, la Cnil a prononcé 42 sanctions s’élevant à près de 90 millions d’euros dont une amende de 75 000 € à l’encontre d’un data broker français (*) qui avait collecté des données de prospects sans consentement valide, du fait de l’apparence trompeuse de ses formulaires de jeux-concours. L’importance de ces sanctions ne doit cependant pas faire oublier les échecs du RGPD. L’UFC Que choisir a publié une étude édifiante sur le dévoiement quasi systémique du principe du consentement par la collecte et du partage de données des internautes par des acteurs du web pour la publicité ciblée.
Bien que le RGPD soit un texte protecteur, il reste mal appliqué particulièrement sur internet. Le modèle économique basé sur la fourniture d’informations et de services gratuits, en échange des données personnelles au service de la publicité ciblée, perdure. Si les internautes savent aujourd’hui qu’ils sont « le produit », la plupart ignorent bien souvent la manière dont leurs données sont collectées et exploitées par un écosystème assez opaque. « Bien que la majorité des consommateurs ne souhaitent pas être suivis, ils se trouvent dans une asymétrie par rapport aux entreprises dans l’environnement en ligne. Ils sont délibérément maintenus dans l’ignorance de ce qui advient de leurs données personnelles et n’ont guère d’autre choix que de renoncer à utiliser la plupart des services en ligne, bien que ceux-ci jouent un rôle essentiel dans la société actuelle », constate l’UFC.
L’étude de l’UFC intitulée « Les consommateurs pris au piège du big brother commercial », se base sur la sélection d’une dizaine de sites parmi les plus fréquentés en France et montre que les données personnelles collectées sont partagées plus de 4 000 fois avec plus de 1 040 tiers. Ainsi, Allocine.fr communique les données collectées à 786 partenaires, orange.fr à 778, 20minutes.fr à 609, cdiscount.com à 578, leboncoin.fr à 266 ou le lemonde.fr à 169. Ont-ils obtenu le consentement, le précieux sésame du RGPD qui procure une base légale à leurs traitements ?
L’arrêt de la Cour de justice de l’UE du 4 juillet 2023, dans l’affaire Meta, rappelle que le consentement constitue la base légale d’un tel traitement. Recueillir le consentement de l’internaute ne suffit cependant pas, encore faut-il qu’il soit issu d’une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 4 paragraphe 11). Or, l’esprit et le principe du consentement sont bien souvent tordus pour n’en retenir qu’une apparence de conformité. Les sites, et pas seulement ceux des Gafam, contournent ainsi ce fondement légal en recourant, entre autres, aux dark patterns, ces interfaces conçues pour manipuler le libre choix du consommateur en jouant sur le design pour qu’il ne consulte pas les mentions ou donne systématiquement son consentement, ou en imposant des conditions générales interminables et inintelligibles. Selon l’UFC, il faut en moyenne 34 minutes pour lire les CGU d’un site web et celles de Meta prendraient 2 heures et 45 minutes. Personne ne les lit et tout le monde le sait.
Si ces pratiques sont connues et dénoncées par la Cnil ou le Comité européen de la protection des données, l’étude de l’UFC a le mérite de démontrer combien il est difficile, voire impossible, pour un internaute d’exercer ses droits, à cause de la complexité de l’écosystème de l’industrie des données et des pratiques utilisées pour inciter les consommateurs à partager leurs données. Comment exercer ses droits si on ne connaît pas les entreprises qui exploitent nos données ? En effet, la quasi-totalité des tiers traitant les données est inconnue des internautes. Bien que la liste des partenaires puisse être consultée, il est impossible de vraiment comprendre qui ils sont, et à quelle fin ils utilisent les données partagées. Sur la liste des 1 040 « partenaires » citée par l’étude, le consommateur n’en reconnaitra pas plus d’une vingtaine, dont les plateformes en ligne comme YouTube, Amazon, Meta, etc.
Sur ces 1040 destinataires des données, 923 adresses mails ont pu être identifiées et contactées avec une demande d’accès et d’effacement de données personnelles. 83 (8 %) de ces adresses électroniques ne fonctionnaient pas et 374 (35 %) des mails envoyés sont restés sans aucune réponse au bout du délai de 30 jours fixé par le RGPD. Et parmi les 647 entreprises qui potentiellement détiennent des données personnelles, seulement 79 (7 %) proposent donc une démarche relativement simple et convaincante. Et plus de la moitié (54 %) ne fournissent aucun moyen de contact ou ignorent simplement les demandes d’effacement qui leur sont adressées.
L’idée que les consommateurs consentent librement et en connaissance de cause au traitement de leurs données personnelles par le biais de bannières et de conditions générales reste, pour une partie du web, une fiction juridique. Faut-il pour autant jeter ce principe du RGPD ? Fin novembre, le Conseil européen a dressé un bilan plutôt positif du texte. Toutefois, les gouvernements des États membres ont invité la Commission européenne à réaliser « une évaluation globale et exhaustive » de l’application et du fonctionnement du RGPD intégrée au rapport d’examen que l’exécutif européen doit publier l’année prochaine.
Ce serait sans doute l’occasion d’envisager quelques évolutions et une application plus stricte du RGPD pour mettre un terme au détournement de ses principes par certains acteurs du web.

Sylvie ROZENFELD

par Sylvie Rozenfeld

L'invité du mois

Interview / Pierre Desmarais

par Sylvie Rozenfeld

Extraterritorialité : menaces et solutions

Le choix de géants du Cloud tels que Microsoft pour héberger nos données de santé dans le Health Data Hub ou Amazon pour la partie gestion du système d’information d’EDF, opérateur d’importance vitale, fait polémique en ce début d’année. Parallèlement, la Direction générale de la sécurité intérieure (DGSI), a lancé une nouvelle alerte sur les risques associés au recours à des cabinets d'audit étranger, en termes d’ingérence étrangère. Mais ces inquiétudes sont-elles fondées ? Le choix de prestataires étrangers, souvent américains, constitue-t-il vraiment une menace en raison d’une potentielle application de lois extraterritoriales telles que le Cloud Act ou FISA ? Pierre Desmarais, avocat en droit du numérique, des données et de l’e-santé, nous répond sans préjugés et de manière pragmatique après avoir étudier les textes en cause. Selon lui le risque existe mais il est quasiment impossible de se passer de technologies étrangères. Dans ce cas, il faut l’évaluer, l’anticiper, puis le gérer. Des solutions existent, même si elles ne sont pas toujours juridiques.

Sylvie Rozenfeld : La Direction générale de la sécurité intérieure (DGSI) a publié, en janvier dernier, une nouvelle note intitulée « Lois extraterritoriales : risques associés au recours à des cabinets d’audit étranger » qui concerne notamment les audits commerciaux, d’acquisition, de mise en conformité avec une réglementation ou encore les audits à l’export dans le cadre de l’intégration d’un produit sur un nouveau marché. Pierre Desmarais, vous êtes avocat en droit du numérique, des données et de l’e-santé. Avant d’envisager ce risque particulier, j’aimerais qu’on évoque d’abord un cas d’actualité relatif aux législations extraterritoriales, le recours à Microsoft comme hébergeur des données du Health Data Hub, validé par une décision du 21 décembre 2023 de la Cnil dans le cadre d’un entrepôt de données de santé européen EMC2 et qui vient de faire l’objet un recours en annulation de l’Internet Society (Isoc) France devant le Conseil d’Etat. La loi américaine, et particulièrement le Cloud Act, figure parmi les menaces mises en avant contre ce choix d’un prestataire étranger. Vous n’êtes pas d’accord avec cette affirmation, pourquoi ?

Pierre Desmarais  : D’abord, quand on lit le Cloud Act, pas son résumé ni sa traduction, on se rend compte qu’il concerne seulement la lutte contre le terrorisme et la criminalité organisée. Dans le cadre du HDH, la mise en œuvre du Cloud Act pourrait éventuellement avoir un intérêt pour géolocaliser un criminel, si, par exemple, il a des problèmes rénaux et doit faire des dialyses dans tel établissement. Mais cette lutte suppose que l’on connaisse le nom de la personne ou son identifiant sur un réseau social ou un jeu en ligne ou autre. Il faut savoir quelle personne on cible. Ensuite, cela nécessite une requête devant un juge qui va apprécier ces différents éléments. En l’occurrence, difficile de croire qu’il arriverait à déterminer, avec la pseudonymisation des données dans le HDH, sous quel pseudonyme se « cache » ladite personne.

Le Cloud Act prévoit aussi un système de coopération judiciaire.
Ce texte prévoit la possibilité d’accords avec d’autres Etats pour cadrer les transferts de données et les conditions d’utilisation de ce dispositif. À ma connaissance, aucun Etat de l’Union européenne n’en a. Il reviendrait au prestataire qui se verrait réclamer les données de faire valoir la législation française ou européenne. Si une demande de communication de données viole une législation étrangère, le juge américain pourrait rejeter la demande, sachant qu’il n’a pas la même vision du RGPD ou de la directive sur le secret des affaires que le juge français. Mais est-ce que le juge français en a la même vision qu’un juge allemand ? non. C’est un aléa du droit international privé.
Ensuite, s’agissant du Health Data Hub, Microsoft n’a aucun moyen de déterminer qui figure dans cette base de données car les données font l’objet d’une double pseudonymisation des identifiants par un algorithme. Or, cet algorithme ne permet pas de remonter à l’identité de la personne. Il est donc impossible pour une autorité américaine de saisir un juge en lui demandant les données de telle personne dans le HDH car celui-ci ne serait pas capable de l’identifier. Selon moi, le risque est purement théorique.

Par ailleurs, les données sont chiffrées.
Effectivement. Il y a eu une polémique devant le Conseil d’Etat sur un doute relatif à la question de savoir si Microsoft n’avait une clé de secours. Suite à une des premières décisions du Conseil d’Etat, le HDH a signé un avenant avec Microsoft pour régler le problème du chiffrement.

Pourquoi donc cette polémique autour du Cloud Act ?
Je pense que c’est un effet de mode. On parle de plus en plus de souveraineté numérique, en abandonnant au passage un aspect de notre souveraineté en recourant à une terminologie anglo-saxonne alors que l’article 2 de la Constitution déclare que la langue de la République est le français.

Sans oublier la loi Toubon.
La loi Toubon et un jugement du tribunal administratif de Paris du 20 octobre 2022 (*) qui interdit au HDH de s’appeler ainsi et lui faisant injonction de se nommer Plateforme des données de santé.

Dans sa dernière délibération du 23 décembre 2023 relative au HDH, la Cnil déclare que « les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères ». Mais elle ne précise pas la nature du risque. Si, selon vous, le Cloud Act ne présente pas de risques pour les données du HDH, alors de quoi doit-on avoir peur ? L’ordonnance de 13 octobre 2020 du Conseil d’Etat évoque l’article 702 du FISA A…

Les doctrines du mois

Intelligence artificielle

L’« AI Act » : dernier point d’étape avant l’adoption

Par Vincent Denoyelle ; Emmanuel Ronco

L’Union européenne s’apprête à adopter la première loi au monde spécifiquement dédiée à la réglementation de l’intelligence artificielle. L’AI Act constitue un texte important pour l’IA mais il subsiste encore des interrogations notamment quant aux conséquences sur le droit d’auteur, sa mise en œuvre et le respect de ses dispositions ou son influence sur l’IA en Europe ou sur le développement d’une industrie européenne.

Preuve

eIDAS V2 inaugure un service de confiance très attendu : l’archivage électronique

Par Isabelle Renard

L’archivage électronique est un composant essentiel de la preuve numérique puisque celle-ci, contrairement à la preuve papier, est susceptible d’altération au cours du temps. Jusqu’ici, le droit français ne comportait aucune définition de l’archivage électronique et le domaine restait essentiellement technique et normatif. Il en résultait une véritable insécurité juridique et judiciaire au regard de la validité d’un document électronique sur le long terme, amenée à s’aggraver avec l’augmentation de la production de documents dématérialisés à fort enjeu. Le futur Règlement eIDAS V2 vient combler cette lacune.

Données personnelles

L’AFCDP : l’association des DPO depuis 20 ans

Par Myriam Quéméner

Le dernier congrès de l’Association française des délégués à la protection des données personnelles (AFCDP) qui s’est tenu en février dernier a été l’occasion de célébrer son vingtième anniversaire.

Données personnelles

Validation par la Cnil de l’hébergement du HDH La souveraineté numérique est l’affaire de tous

Par Alexandra ITEANU

La Cnil valide le recours de Microsoft comme hébergeur du Health Data Hub HDH, semble-t-il à regret. Cette prise de décision n’est en fait que le résultat d’un effet domino impliquant en réalité tout le monde.

Intelligence artificielle

Défis et préalables pour son usage en inforensique…

Par Daniel GUINIER

Le recours aux techniques d’inforensique, dans le cadre d’enquêtes judiciaires en matière pénale et particulièrement de lutte contre la cybercriminalité, exige beaucoup de temps et d'efforts, alors que le temps est compté. L'IA permet de réduire la masse de contenus à analyser, de cibler les données, en fonction d'une plage horodatée, d'un ensemble de mots-clés, de regroupement des résultats individuels d'analyses, etc. Mais les humains restent nécessaires pour examiner les preuves numériques recueillies à l'aide de ces outils et valider les résultats obtenus avec l'IA pour mettre en perspective l'ensemble du dossier et des preuves.

RGPD

Le consentement : une base légale parfois inadaptée

Par Alexandre FIEVEE

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question du consentement donné par des patients en vue de la publication par un hôpital d’informations les concernant sur un compte Instagram.

Expertises : Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

FORMULES D'ABONNEMENT

EXPERTISES N°489
EXPERTISES N°437
EXPERTISES N°453
EXPERTISES N°490
EXPERTISES N°469
EXPERTISES N°486