Expertises
Droit, technologies & prospectives
interview / Sophie NERBONNE
ACCULTURATION DES PME AU RGPD : VERS UNE CONFORMITÉ FACILITÉE
Droit, technologies & prospectives
Tous les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros
Sommaire
Edito
Focus
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
Doctrines
Intermédiation de données dans le DGA : Un business model en construction
Utilisation de l’ IA en entreprise : risques et points de vigilance
L’IA, outil de lutte contre la fraude sociale et fiscale
Moyens de preuve illicites, collecte de données et responsabilité pénale
Loi SREN : le délit d’outrage en ligne invalidé
La désinformation à l’ère de l’IA est une cybermenace
Souriez, vous êtes filmés !
L'édito du mois
Bouc émissaire
Dans le numérique comme en politique, l’Europe a souvent bon dos. Et la panne informatique qui a touché 8,5 millions d’ordinateurs sous Windows 10 et 11 dans le monde en est encore une illustration. Le 19 juillet dernier, un patch défectueux de Falcon Sensor, un logiciel développé par la société de cybersécurité américaine CrowdStrike, a provoqué l’apparition d’un « écran bleu de la mort » ou Blue Screen of Death (BSoD), ce qui désigne le message d’erreur affiché sur l’écran d’un PC sous Windows lorsque celui-ci ne parvient pas à récupérer d’une erreur du système, ou lorsqu’il arrive à un point critique d’une erreur fatale. Conséquence : le fonctionnement de systèmes d’information d’aéroports, de banques, d’hôpitaux et même du Comité d’organisation des JO de Paris 2024 ont subi de fortes perturbations.
Microsoft a rapidement communiqué sur le fait que cet incident ne relevait pas de sa responsabilité directe, mais de la mise à jour problématique d’un logiciel provenant du sous-traitant. Si Microsoft n’est pas à l’origine de la panne, celle-ci a néanmoins révélé les vulnérabilités de Windows. Mais très vite, Microsoft a accusé l’Europe d’en être à l’origine. Dans un article publié dans le Wall Street Journal, le porte-parole de Microsoft a affirmé qu’un accord conclu en 2009 avec la Commission européenne l’empêcherait de verrouiller davantage son système d’exploitation afin d’en renforcer la sécurité. Le 16 décembre 2009 en effet, un accord avait été conclu entre Microsoft et la Commission européenne qui l’accusait d’abuser de sa position dominante pour imposer son navigateur Internet Explorer. L’éditeur américain s’était ainsi engagé à proposer aux utilisateurs de Microsoft Windows un écran multi-choix leur permettant de sélectionner facilement différents navigateurs. Cet accord comportait également un volet qui imposait l’interopérabilité des produits de Microsoft avec des logiciels tiers. L’exigence de la Commission ne consistait cependant pas à donner aux éditeurs tiers un accès à l’espace noyau, mais de leur offrir les mêmes capacités que ses propres produits, à savoir l’accès aux API, aux paramètres et à la documentation que les programmes de sécurité de Microsoft utilisent.
Un porte-parole de la Commission européenne a vite réagi en déclarant que le géant américain n’avait jamais soulevé de préoccupations en matière de sécurité auprès de la Commission, ni avant ni après l’incident. Et d’ajouter que « Microsoft est libre de décider de son modèle économique. Il lui appartient d’adapter son infrastructure de sécurité pour répondre aux menaces conformément au droit de la concurrence de l’UE. En outre, les consommateurs sont libres de bénéficier de la concurrence et de choisir entre différents fournisseurs de cybersécurité. ». Il apparaît ainsi que Bruxelles aurait demandé un accès équivalent, et non privilégié au kernel du système d’exploitation. Ce qui n’empêchait pas Microsoft de créer une API hors du noyau pour le géant américain et que d’autres fournisseurs de sécurité puissent l’utiliser. Apple a choisi une approche opposée. Il a supprimé progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d’extension du système ». Apple a ainsi forcé les éditeurs tiers à s’adapter. Ce quia du reste fait CrowdStrike.
Cette affaire met ainsi en lumière la difficulté pour les régulateurs de concilier concurrence et sécurité informatique et les questions sur la responsabilité partagée entre les éditeurs de logiciels, les géants de la tech et les autorités réglementaires dans la prévention et la gestion de telles crises. Elle interroge aussi sur le sujet de la concentration du secteur des technologies de l’information et la monoculture d’un système d’exploitation ayant créé un milieu homogène.
Ces problématiques générales n’empêchent toutefois pas CrowdStrike de voir sa responsabilité engagée pour les dommages causés par sa mise à jour dans le cadre d’une class action aux Etats-Unis. Du côté européen, la panne informatique pourrait susciter des plaintes quant au non-respect de l’article 32 du RGPD sur la sécurité des données à caractère personnel. Reste à déterminer s’il y a eu atteinte à ces données et qui est le responsable de traitement.
Le focus du mois
La Privacy fatigue
Les internautes en ont assez de ces bannières de cookies complexes et renoncent de plus en plus à exprimer leurs préférences en matière de confidentialité ou consentent sans réfléchir. Cette résignation inquiète la Commission européenne mais les acteurs concernés résistent au changement.
Bien que les personnes se sentent toujours concernées par la protection de leurs données, elles sont de plus en plus lassées par toutes ces sollicitations de consentement, ces bannières qui constamment leur réclament de faire des choix. Un sentiment de résignation les gagne, les conduisant à donner mécaniquement leur consentement. Cette lassitude ou Privacy fatigue, observée depuis peu, entraîne une perte de confiance des internautes qui préoccupe la Commission européenne. Pour lutter contre cette tendance au désengagement, la Commission européenne avait proposé aux acteurs concernés de modifier leurs pratiques. Sans succès.
La chaire « Valeurs et politiques des informations personnelles » de l’Institut Mines-Télécom avait fait réaliser un sondage en 2023 qui montre que le phénomène de Privacy fatigue est en hausse bien que les internautes restent très sensibles à la question de la protection de la vie privée et de leurs données. 57% des répondants en 2023 contre 50% en 2019 ont déclaré avoir peu de contrôle sur les pratiques des acteurs privés et institutionnels et en acceptaient, résignés, l’idée. Et parallèlement, le nombre de réfractaires, à savoir de personnes souhaitant maitriser l’accès à leurs données et n’acceptant pas d’avoir peu de contrôle a diminué (41% en 2023 versus 46% en 2019).
Les internautes sont en effet constamment sollicités par des demandes de consentement, souvent ennuyeuses et répétitives, auxquelles ils doivent répondre par un clic ou en balayant leur écran. Cette multiplication des messages s’accompagnent d’une complexification des sollicitations avec une offre de paramétrage personnalisé des services. De nombreux sites ne font guère d’effort pour mettre en place une solution de recueil du consentement facile et fluide, dissuadant ainsi l’internaute de refuser le cookie, via un design complexe et fastidieux. Comme pour les conditions générales, les informations liées au consentement cessent d’être lues et l’approbation ainsi obtenue est vidée de sa substance.
Si face à ces sollicitations incessantes certains finissent par installer des bloqueurs de publicités pour neutraliser les bannières ou quitter le site dès qu’ils aperçoivent une bannière contraignante, beaucoup acceptent les cookies pour se débarrasser de cette contrainte et ne pas avoir à réfléchir, consentant sans approuver.
La Commission européenne cons-ciente de cet affaiblissement du principe de consentement par des pratiques dissuasives et in fine de la confiance des internautes, avait proposé, en mars 2023, un plan d’engagements aux entreprises concernées, le « Cookie Pledge ». Le commissaire européen à la Justice Didier Reynders avait annoncé le lancement d’une initiative volontaire pour répondre à la « lassitude croissante des internautes face aux cookies ». Une série de tables rondes avec des parties prenantes (éditeurs, annonceurs, entreprises AdTech, plateformes numériques et organismes de protection des consommateurs) avait été organisée afin de trouver une façon d’informer les internautes de manière complète et compréhensible sur les implications de leur choix lié à leur vie privée, en évitant une « surcharge d’informations ».
Huit principes destinés à simplifier les cookies pour les utilisateurs et répondre à la fatigue du consentement avaient été dégagés, sur lesquels les entreprises concernées devaient s’engager volontairement. Le projet garantissait que les utilisateurs reçoivent des informations concrètes sur la manière dont leurs données sont traitées, ainsi que sur les conséquences de l’acceptation de différents types de cookies, de façon à avoir un plus grand contrôle sur le traitement de leurs données. Le consentement ne devrait pas être demandé à nouveau avant un an après son refus, constituant ainsi une étape importante vers la réduction de la lassitude en matière de cookies.
Le Comité européen de la protection des données (CEDP) avait globalement souscrit à cette initiative mais en avril dernier, les discussions avec les acteurs se sont interrompues, faute d’accord. De nombreuses parties prenantes ont invoqué une approche volontaire prématurée, compte tenu de la mise en œuvre des règlements sur les services numériques (DSA) et sur les marchés numériques (DMA). Le « Cookie Pledge » semble bien mort, mais le problème de la lassitude du consentement reste entier.
Si certains acteurs profitent de cette fatigue du consentement (consent fatigue), d’autres sont conscients de son impact négatif à terme, notamment sur la mesure de leurs performances. Selon la Chaire de Mines-Télécoms, les conditions d’une confiance solide et durable nécessiteraient de s’appuyer sur une combinaison de solutions. Il s’agirait d’abord de repenser la place omniprésente du consentement individuel, aujourd’hui en perte d’effectivité et de modifier « les modalités d’encapacitation des utilisateurs, en intégrant les aspects collectifs et multipartites de la protection des données personnelles et en renforçant l’accès à l’information, notamment en développant une signalétique de confiance pour ces technologies ». Il faudrait par ailleurs « proposer des modèles économiques plus vertueux, des modèles centrés notamment sur les questions de protection de la vie privée et des données personnelles (Privacy as a business model) ».
Sans évolution des pratiques, cette lassitude risque de se transformer en hostilité. Ce qui, à terme, n’est bénéfique ni pour les personnes ni pour le business.
L'invité du mois
Interview / Sophie Nerbonne
Acculturation des PME au RGPD : vers une conformité facilitée
Après l’application du RGPD, beaucoup d’entreprises essentiellement des PME et des TPE ont été tétanisées par la hauteur des sanctions potentielles et la complexité du texte. Si souvent elles avaient entendu parler de la protection des données personnelles, elles ne savaient comment faire pour la respecter. Pourtant la Cnil n’a pas ménagé ses efforts de pédagogie. Sophie Nerbonne, qui était directrice de l’accompagnement (ex-direction de la conformité) de la Cnil en 2018 a fait le constat que cette information générale au travers de lignes directrices, de fiches ou autres livres blancs ne permet pas de toucher ces entreprises, pourtant très majoritaires en France, car elles ont besoin d’une information ciblée sur leurs métiers ou leurs pratiques, avec leur langage. Sophie Nerbonne a été chargée de la co-régulation économique pour aller chercher ceux qui ne vont pas sur le site de la Cnil, qui n’appellent pas. D’où l’idée de s’appuyer sur des « têtes de réseaux », des organisations professionnelles ou sectorielles, en capacité de les convaincre de respecter ce droit dans leur intérêt et celui de leurs clients.
Sylvie Rozenfeld : Vous avez commencé votre carrière à la Sodexo en tant que juriste d’entreprise avant de rejoindre la Cnil où vous avez a successivement pris en charge le secteur financier (banque et assurance) puis le service des affaires économiques à la direction juridique avant de devenir directrice adjointe des affaires juridiques, de l’expertise technique et des affaires internationales à la Cnil. Vous avez été directrice de la conformité, avant d’être nommée directrice chargée de co-régulation économique. On peut dire que vous avez une riche expérience de la protection des données personnelles par les entreprises, côté régulateur. Avant d’évoquer votre fonction de co-régulation, j’aimerais savoir comment vous voyez l’évolution de la pratique et de la perception des entreprises à l’égard de cette protection.
Sophie Nerbonne : Quand je suis entrée à la Cnil en 1988, pour les 10 ans de la loi, les données personnelles étaient souvent considérées comme une lubie de juriste, uniquement axé sur les droits de l’homme, une cerise sur le gâteau. Alors qu’aujourd’hui on se rend compte que la protection des données personnelles représente le gâteau lui-même, indissociable de la data, désormais identifiée comme le carburant de nos économies. La protection des données s’impose d’autant plus qu’elles sont constitutives du patrimoine des entreprises. La question de leur protection est aujourd’hui vitale, y compris au niveau mondial. L’évolution de la perception provient du changement radical des technologies et de notre société qui vit une véritable révolution, sans forcément sans rendre compte, comme la grenouille qui nage dans l’eau qui chauffe. Les principes de la loi de 1978 sont toujours là mais revisités dans un paysage technologique qui a été complètement bouleversé. Il y a donc eu une mise en lumière de la protection des données personnelles en parallèle avec la numérisation croissante de notre vie et de nos activités. Et puis, la vie privée n’est plus celle de 1978.
Toutes les entreprises ne sont pas convaincues par la protection des données personnelles.
Très rapidement à la Cnil, j’ai été amenée à travailler au contact des entreprises dans les secteurs banquier, financier, commercial, etc. J’ai toujours travaillé avec le secteur privé. J’ai pu constater que la prise de conscience de l’importance de cette protection est intervenue essentiellement au moment de l’application du RGPD en mai 2018 alors que la loi avait plus de 40 ans. On a constaté un effet tsunami chez une grande partie des PME et TPE avec une angoisse provoquée par la hauteur des sanctions et la complexité du texte. Elles avaient la sensation d’être face à une montagne qu’elles ne pourraient pas gravir. La cybersécurité leur apparaissait comme le tonneau des Danaïdes, c’est toujours le cas. Elles avaient aussi peur de devoir dépenser beaucoup d’argent sans voir de retour sur investissement. Autant d’enjeux dont nous nous sommes saisis à la Cnil.
Tout en sachant que le risque d’être attrapé est très faible vu le nombre de sanctions.
C’est vrai que le nombre de sanctions que la Cnil prend est infinitésimal par rapport au nombre de traitements qui existent. Sur 4 millions d’entreprises, seules quelques dizaines de sanctions sont prononcées. Récemment, la procédure a été simplifiée pour adopter des « petites sanctions » beaucoup plus rapidement et le mouvement va donc s’accentuer. Pas que pour les petites sanctions d’ailleurs, même si la Cnil veut être équilibrée sur ses deux jambes, celle de l’accompagnement et celle de la sanction.
Et il n’y a quasiment pas de condamnations par les tribunaux.
S’il y a encore peu de décisions de justice, on constate cependant une progression, comme en atteste les « Tables Informatique et Libertés » publiées depuis 18 mois, qui réunissent les décisions de la Cnil et la jurisprudence nationale et européenne suivant un classement thématique. Le niveau de conformité est contrastée depuis la prise de conscience effrayée par les petites PME qui demandèrent à être exonérées de cette loi aux grandes entreprises s’étant dotées de code interne (les BCR) pour matérialiser les process de conformité internes à l’occasion des transferts hors UE. En gros, les acteurs professionnels soucieux de conformité peuvent être répartis en trois catégories. D’abord, il y a ceux qui ont la conformité dans leur ADN, à savoir les professions réglementées, dont la protection des données personnelles constituent une brique supplémentaire, comme dans le secteur financier ou pharmaceutique. Puis ceux dont la réputation est éclaboussée par une sanction rendue publique, des plaintes ou une médiatisation, comme par exemple dans le secteur social ou la santé, ce qui provoque une …
Les doctrines du mois
Intermédiation de données dans le DGA : Un business model en construction
Le partage des données est un sujet dont l’importance ne fait que croître et qui occupe de manière exponentielle l’Union européenne, qui a souhaité favoriser les mécanismes d’échange de données dans le cadre de sa stratégie européenne pour les données. Acte législatif majeur de cette stratégie, le Data Governance Act, applicable depuis le 24 septembre 2023, encadre ainsi, entre autres, l’intermédiation de données dans le but de favoriser les échanges de données. Mais pas de business sans confiance… neutralité, transparence, non-discrimination, label européen ; un véritable business-model européen de l’intermédiation de données se dessine et mérite d’y prêter une attention toute particulière. Tour d’horizon du cabinet Oyat sur ce nouveau service.
Utilisation de l’ IA en entreprise : risques et points de vigilance
L’introduction de l’IA en entreprise est une technologie qui bouleverse les schémas actuels du travail. D’où la nécessité d’élaborer une charte pour encadrer les pratiques et gérer les risques juridiques liés à son usage. Quelques conseils quant à la rédaction et la mise en œuvre d’une telle charte.
L’IA, outil de lutte contre la fraude sociale et fiscale
Dans le cadre de ses travaux, la délégation sénatoriale à la prospective a publié une série de rapports thématiques consacrés à l'utilisation de l'intelligence artificielle (IA) dans le service public. Le premier rapport déposé le 2 avril 2024 est consacré à la lutte contre la fraude sociale et fiscale où elle identifie « trois priorités pour avancer ».
Moyens de preuve illicites, collecte de données et responsabilité pénale
Par plusieurs arrêts récents, la Cour de cassation a admis que l’illicéité d’un moyen de preuve n’entraîne pas nécessairement son rejet des débats. Est-ce que cela signifie que l’employeur peut désormais avoir impunément recours à tous les stratagèmes possibles pour parvenir à ses fins dans le cadre d’un litige avec un salarié ? Assurément, non. Dans une telle situation...
Loi SREN : le délit d’outrage en ligne invalidé
En censurant l’une des mesures phares et controversée de la loi SREN, le Conseil constitutionnel s’affiche ainsi comme un défenseur des libertés fondamentales, préservant toute atteinte disproportionnée à la liberté d’expression et de communication, dans un environnement numérique régulé.
La désinformation à l’ère de l’IA est une cybermenace
La prolifération de la désinformation à l’ère de l’IA représente une cybermenace d’une ampleur sans précédent. Si l’élimination complète de la désinformation est improbable, la diminution de son impact reste possible. Présentation des actions de nature réglementaire, technique, organisationnelle ou éducative constituant un écosystème de défense par couches complémentaires communicantes.
Souriez, vous êtes filmés !
Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question de l’utilisation par l’employeur des images issues d’un dispositif de vidéosurveillance pour une finalité différente de celle pour laquelle un tel dispositif avait été mis en place.