Expertises
Droit, technologies & prospectives

interview / HENRI VERDIDER

Géopolitique du numérique et risque de fragmentation

Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

Nos derniers numéros

EXPERTISES N°480 - juin 2022 - Géopolitique du numérique et risque de fragmentation / HENRI VERDIDER
N°480 – juin 2022
EXPERTISES N°479 - mai 2022 - Ransomware : payez la rançon l'assurance rembourse / Valéria FAURE-MUNTIAN
N°479 – mai 2022
EXPERTISES N°478 - avril 2022 - RÉDUIRE LA POLLUTION DU NUMÉRIQUE : UNE LOI PIONNIÈRE / Patrick CHAIZE et Frédéric BORDAGE
N°478 – avril 2022
EXPERTISES N°477 - mars 2022 - LE CASSE-TETE DE LA FISCALITE DES CRYPTO-MONNAIES / Frédéric poilpré
N°477 – mars 2022
EXPERTISES N°476 - février 2022 - Véhicule connecté : l'enjeu des données / Romain Perray
N°476 – février 2022
EXPERTISES N°475 - janvier 2022 - DROIT DU LOGICIEL : ETAT DES LIEUX / Bernard LAMON
N°475 – janvier 2022
EXPERTISES N°474 - décembre 2021 - Open data judiciaire : Un lancement prudent / Estelle Jond-Necand
N°474 – décembre 2021
EXPERTISES N°473 - novembre 2021 - La data au cœur des investigations internes / Jean-Julien Lemonnier
N°473 – novembre 2021
EXPERTISES N°472 - octobre 2021 - ROMAIN DARRIERE / INFLUENCEURS VERS LA MATURITÉ
N°472 – octobre 2021
EXPERTISES N°471 - septembre 2021 - ENTENTES ALGORITHMIQUES / NATASHA TARDIF
N°471 – septembre 2021
EXPERTISES N°470 - juillet 2021 - Brevets IA : les écueils à éviter / Mathias Robert
N°470 – juillet 2021
EXPERTISES N°469 - juin 2021 - IA : POUR UN DROIT DE RUPTURE / ALAIN BENSOUSSAN
N°469 – juin 2021
EXPERTISES N°468 - mai 2021 - Néoassurance, un modèle qui émerge / Christophe Dandois
N°468 – mai 2021
EXPERTISES N°467 - mars 2021 - Humain / machine : la nouvelle division du travail juridique / Olivier CHADUTEAU
N°467 – mars 2021
EXPERTISES N°466 - mars 2021 - DSA/DMA : CHANGEMENT DANS LA CONTINUITÉ / ANNE COUSIN ET JEAN-MATHIEU COT
N°466 – mars 2021
EXPERTISES N°465 - février 2021 - CMP : UN PASSEUR DE CONSENTEMENT / Romain BESSUGES-MEUSY
N°465 – février 2021
EXPERTISES N°464 - janvier 2021 - L’expertise-conciliation : pacifier les litiges / Fabien CLEUET et François-Pierre LANI
N°464 – janvier 2021
EXPERTISES N°463 - décembre 2020 - Matching prédictif un recrutement biaisé / Stéphanie Lecerf
N°463 – décembre 2020
EXPERTISES N°462 - novembre 2020 - La révolution open banking / Thibault Verbiest
N°462 – novembre 2020
EXPERTISES N°461 - octobre 2020 - IA en procès / Yannick Meneceur
N°461 – octobre 2020
EXPERTISES N°460 - septembre 2020 - Smart city : intérêt général by design / Jacques Priol
N°460 – septembre 2020
EXPERTISES N°459 - juillet 2020 - Transmettre l'immatériel / David Ayache
N°459 – juillet 2020
EXPERTISES N°458 - juin 2020 - Les racines de notre dépendance technologique / Christian HARBULOT
N°458 – juin 2020
EXPERTISES N°457 - mai 2020 - Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” title=”EXPERTISES N°457 – mai 2020 – Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” description=”EXPERTISES N°457 – mai 2020-  Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova”></div>
<div class=N°457 – mai 2020
EXPERTISES N°456 - avril 2020 - Pour l’ouverture<br>des données privées / Laurent Lafaye” title=”EXPERTISES N°456 – avril 2020 – Pour l’ouverture<br>des données privées / Laurent Lafaye” description=”EXPERTISES N°456 – avril 2020-  Pour l’ouverture<br>des données privées / Laurent Lafaye”></div>
<div class=N°456 – avril 2020
EXPERTISES N°455 - mars 2020 - Profilage :<br> pratiques & parades / Cédric Lauradoux” title=”EXPERTISES N°455 – mars 2020 – Profilage :<br> pratiques & parades / Cédric Lauradoux” description=”EXPERTISES N°455 – mars 2020-  Profilage :<br> pratiques & parades / Cédric Lauradoux”></div>
<div class=N°455 – mars 2020
EXPERTISES N°454 - février 2020 - La robustesse de<br>la PI face A l’IA / Franck Macrez” title=”EXPERTISES N°454 – février 2020 – La robustesse de<br>la PI face A l’IA / Franck Macrez” description=”EXPERTISES N°454 – février 2020-  La robustesse de<br>la PI face A l’IA / Franck Macrez”></div>
<div class=N°454 – février 2020
EXPERTISES N°453 - janvier 2020 - RGPD : une révolution dans la continuité / Ariane MOLE
N°453 – janvier 2020
EXPERTISES N°452 - décembre 2019 - le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” title=”EXPERTISES N°452 – décembre 2019 – le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” description=”EXPERTISES N°452 – décembre 2019-  le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche”></div>
<div class=N°452 – décembre 2019
EXPERTISES N°451 - novembre 2019 - Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” title=”EXPERTISES N°451 – novembre 2019 – Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” description=”EXPERTISES N°451 – novembre 2019-  Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus”></div>
<div class=N°451 – novembre 2019
EXPERTISES N°450 - octobre 2019 - Numérique :<br>le défi fiscal / Frédéric Douet” title=”EXPERTISES N°450 – octobre 2019 – Numérique :<br>le défi fiscal / Frédéric Douet” description=”EXPERTISES N°450 – octobre 2019-  Numérique :<br>le défi fiscal / Frédéric Douet”></div>
<div class=N°450 – octobre 2019
EXPERTISES N°449 - septembre 2019 - L'impérialisme<br>juridique / Olivier de Maison Rouge” title=”EXPERTISES N°449 – septembre 2019 – L’impérialisme<br>juridique / Olivier de Maison Rouge” description=”EXPERTISES N°449 – septembre 2019-  L’impérialisme<br>juridique / Olivier de Maison Rouge”></div>
<div class=N°449 – septembre 2019
EXPERTISES N°448 - juillet 2019 - DPO : un métier<br>qui s’installe / Paul Olivier Gibert” title=”EXPERTISES N°448 – juillet 2019 – DPO : un métier<br>qui s’installe / Paul Olivier Gibert” description=”EXPERTISES N°448 – juillet 2019-  DPO : un métier<br>qui s’installe / Paul Olivier Gibert”></div>
<div class=N°448 – juillet 2019
EXPERTISES N°447 - juin 2019 - Le RGPD : du droit sans vision stratégique / Julien Nocetti
N°447 – juin 2019
EXPERTISES N°446 - mai 2019 - IGN : la gratuitE des données en question / Marie Pisan
N°446 – mai 2019
EXPERTISES N°445 - avril 2019 - Nom de domaine un actif et des risques / Nathalie Dreyfus
N°445 – avril 2019
EXPERTISES N°444 - mars 2019 - Les logiciels libres, un modèle mature / Benjamin Jean
N°444 – mars 2019
EXPERTISES N°443 - février 2019 - Résister à la gouvernance algorithmique / François Pellegrini
N°443 – février 2019
EXPERTISES N°442 - janvier 2019 - Anticiper sa survie numérique au-delà de sa mort / Mathieu Fontaine
N°442 – janvier 2019
EXPERTISES N°441 - décembre 2018 - Intelligence artificielle et médecine quelle éthique pour demain ? / David Gruson
N°441 – décembre 2018
EXPERTISES N°440 - novembre 2018 - Blockchain AS A SERVICE Démocratisation de la blockchain ? / Marc-Antoine Ledieu
N°440 – novembre 2018
EXPERTISES N°439 - octobre 2018 - Nathalie Nevejans / Nathalie Nevejans
N°439 – octobre 2018
EXPERTISES N°438 - septembre 2018 - Pour la médiation judiciaire en  propriété  intellectuelle / Françoise Barutel Naulleau
N°438 – septembre 2018
EXPERTISES N°437 - juillet 2018 - Science-fiction : quand l’imaginaire devient source de droit / Fabrice Defferrard
N°437 – juillet 2018
EXPERTISES N°436 - juin 2018 - CONTRATS, Accès indirects & coûts cachés : SAP BRISE LA GLACE AVEC Ses utilisateurs / Gianmaria Perancin
N°436 – juin 2018
EXPERTISES N°435 - mai 2018 - L’innovation prédatrice Un nouveau défi pour le droit de la concurrence / Thibault Schrepel
N°435 – mai 2018
EXPERTISES N°434 - avril 2018 - LES données LA NOUVELLE INGENIéRIE  DU POUVOIR / Adrien Basdevant
N°434 – avril 2018
EXPERTISES N°433 - mars 2018 - L’open data de la jurisprudence : Le casse-tête de l’anonymisation / Loïc Cadiet
N°433 – mars 2018
EXPERTISES N°432 - février 2018 - RGPD : vers un futur standard global / Max Schrems
N°432 – février 2018
EXPERTISES N°431 - janvier 2018 - L’angoisse du RGPD la Cnil rassure / Jean Lessi
N°431 – janvier 2018
EXPERTISES des systèmes d’informationjuin 2022 – N°480

L'édito du mois

Caméras

Les caméras sont partout dans les rues, sur les routes, dans les magasins, etc. Elles s’imposent désormais comme une évidence et ne font plus débat, sauf pour quelques chercheurs et quelques associations de défense des libertés qui continuent de remettre en question leur efficacité. Aujourd’hui, ce sont de nouvelles applications vidéo, que ce soit la reconnaissance faciale ou les caméras « augmentées », qui questionnent sur les risques liés à la vie privée, aux libertés publiques ou individuelles et à l’émergence d’une société de surveillance généralisée de la population, grâce à la puissance de traitement qu’offre l’intelligence artificielle.
La reconnaissance faciale rencontre une certaine hostilité chez les personnes. L’exemple chinois fait peur, ce qui n’empêche pas cette technologie biométrique de s’installer et ce marché de prospérer. La société américaine Clearview AI concentre beaucoup de critiques et fait l’objet de plusieurs procédures ou enquêtes dans le monde. Elle fournit aux autorités judiciaires et policières un logiciel de reconnaissance faciale qui croise un visage avec une base de données de plus de vingt milliards d’images, aspirées sur internet, à l’insu des personnes. Elle s’est fixé l’objectif d’atteindre les 100 milliards de portraits d’ici la fin de l’année. Pas sûr qu’elle puisse continuer impunément ce pillage des visages. Les condamnations commencent à s’accumuler. Le 23 mai dernier, l’Information Commissioner’s Office (ICO), l’équivalent britannique de la Cnil, l’a sanctionnée d’une amende de 7,5 millions de livres sterling (soit environ 8,85 millions d’euros) et lui a ordonné de cesser de « récupérer et utiliser les données personnelles » et de « supprimer les données des résidents britanniques de ses systèmes ». Le 9 mars dernier, l’autorité de protection des données italienne, quant à elle, lui a infligé une sanction de 20 millions d’euros pour avoir traité des données biométriques sans base légale et a ordonné l’effacement des données biométriques des Italiens. Quant à la Cnil, elle avait mis en demeure cette société de cesser la réutilisation de photos accessibles sur internet, en décembre dernier. Faute de réponse, la présidente de la Cnil a annoncé qu’elle allait saisir la formation restreinte pour éventuellement sanctionner ces atteintes.
Les errements de cette entreprise ne semblent cependant pas remettre en cause le recours à la reconnaissance faciale. Preuve en est le rapport d’information du Sénat de Marc-Philippe Daubresse, Arnaud de Belenet et Jérôme Durain, rendu public le 10 mai dernier : « La reconnaissance biométrique dans l’espace public : 30 propositions pour écarter le risque d’une société de surveillance ». Les sénateurs n’envisagent pas de renoncer à un outil qui a montré son utilité en matière de criminalité ou de terrorisme mais de l’encadrer. Ils proposent de fixer des lignes rouges au-delà desquelles aucun usage de la reconnaissance biométrique ne pourrait être admis. Il s’agit des systèmes de notation sociale des personnes, de catégorisation des personnes selon une origine, des convictions religieuses ou philosophiques ou une orientation sexuelle et des systèmes de reconnaissance d’émotions. Avant de fixer le cadre juridique, ils suggèrent l’adoption d’une loi d’expérimentation, pour trois ans, qui prévoirait les conditions et les finalités pour lesquelles la reconnaissance biométrique pourrait faire l’objet d’expérimentations par les acteurs publics ou dans les espaces ouverts au public.
De son côté, le Comité européen de la protection des données (CEPD) vient de publier ses lignes directrices sur l’utilisation des technologies de reconnaissance faciale par les autorités répressives et judiciaires. Le CEPD comprend l’intérêt pour les autorités de disposer d’outils qui leur permettent d’identifier rapidement les auteurs de crimes. Mais ces outils doivent être utilisés dans le strict respect du cadre juridique applicable, et uniquement dans les cas répondant aux exigences de nécessité et de proportionnalité. Comme les sénateurs, le CEDP évoque ces « lignes rouges » à ne pas franchir, quand le recours à ces technologies engendre des risques élevés inacceptables pour les individus et la société.
Aujourd’hui surgit un nouveau débat : la régulation des caméras dites « intelligentes », ou « augmentées », dans l’espace public. La Cnil en fait une priorité pour les deux prochaines années. Une consultation publique, qui a pris fin en mars dernier, doit aider la Cnil à arrêter sa position sur les conditions de déploiement de ces caméras dans l’espace public. Elles n’ont pas recours à la reconnaissance faciale puisqu’elles n’identifient pas les passants, mais, en tant que système de vidéosurveillance, elles mêlent prises de vue et algorithmes afin de repérer des événements suspects. Pour la Cnil, « de tels dispositifs ne sont en aucun cas un simple « prolongement » technique des caméras existantes. Ils modifient leur nature même par leur capacité de détection et d’analyse automatisée. Ils posent, par conséquent, des questions éthiques et juridiques nouvelles ». Les personnes sont analysées de manière automatisée, en ce qu’elles sont ou ce qu’elles font, afin d’en déduire, de façon probabiliste, un grand nombre d’informations permettant, le cas échéant, une prise de décisions ou de mesures concrètes les concernant. Elle estime qu’« un tel changement ne constitue pas une simple évolution technologique ou un approfondissement des dispositifs de vidéoprotection, mais une modification de leur nature. La Cnil rappelle à cet égard qu’une vigilance particulière doit être accordée vis-à-vis de la tentation du solutionnisme technologique ».

Le focus du mois

RGPD

L’Europe remet la Cnil belge dans les clous

Menacée de sanction par la Commission européenne en raison du défaut d’indépendance de l’Autorité de protection des données (ADP), la Cnil belge a fini par réagir. Un lourd et coûteux combat pour les deux directrices de l’Autorité qui ont révélé les dérives de cette institution.

Quand une autorité de contrôle dysfonctionne, et que les instances nationales se montrent inopérantes, l’Europe reste le dernier recours pour débloquer la situation et imposer le respect du RGPD. En cause la dépendance de membres de l’Autorité de protection des données (ADP), la Cnil belge, à l’égard des pouvoirs publics. Après un an et demi de dénonciations par deux ex-directrices et l’ouverture d’une procédure d’infraction contre la Belgique par la Commission européenne au sujet de l’indépendance de son autorité chargée de la protection des données, suivie d’un avis motivé, le Parlement belge a finalement réagi. Chargé du contrôle de l’ADP, il a lancé une procédure de levée des mandats et s’apprête à adopter une réforme législative destinée à modifier la composition des membres de l’autorité. Mais les directrices qui ont dénoncé les dérives de l’Autorité ont beaucoup perdu dans ce combat : l’une a fini par démissionner et l’autre subit une procédure de révocation.
En application du RGPD, la loi du 3 décembre 2017 avait créé l’Autorité de protection des données (ADP), une autorité de contrôle et de sanction, remplaçant la Commission Vie privée, qui était un organe consultatif. Cette instance est composée de cinq co-directeurs ou co-directrices, qui peuvent être révoqués par le seul Parlement. Par ailleurs, elle comporte un Centre de connaissances qui émet des avis sur des avant-projets de lois, de décrets ou d’arrêtés. Cette mission implique une indépendance à l’égard du pouvoir et une absence de conflits d’intérêts.

Un peu moins d’un an après la création de l’Autorité par la loi, cinq personnes ont finalement été nommées au comité directeur pour six ans : David Stevens (DPO européen chez The Nielsen Company) qui assure pendant trois ans la présidence, Charlotte Dereppe (conseillère au cabinet du secrétaire d’Etat au respect de la vie privée), Alexandra Jaspar (DPO et responsable conformité chez Bpost), Peter Van den Eynde (ex conseiller juridique à la Commission Vie privée) et Hielke Hijmans (experte indépendante droit de la confidentialité européen).

« Monsieur données »
de l’État belge à l’APD

Dès septembre 2020, soit peu de temps après leur prise de fonction, Charlotte Dereppe et Alexandra Jaspar ont envoyé un courrier au Parlement pour dénoncer le manque d’indépendance de l’institution, sa composition en contradiction avec le RGPD et son inopérance. Elles mettaient notamment en cause David Stevens, l’un des directeurs et président de l’Autorité qui « a des contacts rapprochés avec des membres du gouvernement, des ministres, des directeurs d’administration ». Il a en effet participé à la Task Force « Data against corona » pour le compte du gouvernement. Alexandra Jaspar a expliqué à la RTBF que David Stevens « fait blocage au sein du Comité de direction pour que l’APD se taise et n’agisse pas contre l’autorité publique (…). Nous sommes une autorité qui ne protège pas les données (…) une autorité qui ne mord pas quand le secteur public est en face de nous ».

Les deux co-directrices ont également visé d’autres membres de l’ADP dont Franck Robben du Centre de connaissances. Ce dernier est le « Monsieur données » de l’État belge qui s’est vu discerner en 2021 le prix « Big Brother de l’année » par Ministry of Privacy notamment pour « l’absence de toute forme de transparence dans de nombreuses fonctions ». Il est responsable de la plupart des projets gouvernementaux en matière de vie privée en Belgique : il est administrateur de la banque Carrefour de la sécurité sociale, de la plateforme eHealth, dirigeant de Smals (prestataire informatique du secteur public) et principal rédacteur des décisions du Comité de sécurité de l’information (CSI).
Face à l’inaction du Parlement, les deux lanceuses d’alerte ont dénoncé ces faits au quotidien le Soir. Puis elles se sont de nouveau adressées au Parlement qui les auditionnera mais ne prendra aucune décision de révocation. Deux membres de l’ADP démissionneront cependant mais David Stevens et Franck Robben se maintiendront.

Devant un tel blocage, la Commission européenne a été amenée à intervenir. Dans un premier temps, le commissaire en charge de la Justice, Didier Reynders, a envoyé, en mars 2021, une lettre aux autorités belges dans laquelle il faisait part de son inquiétude quant au fait que l’APD n’était pas indépendante. « Certains de ses membres ne peuvent être considérés comme étant à l’abri de toute influence extérieure parce qu’ils rendent compte à un comité de gestion dépendant du gouvernement belge, participent à des projets gouvernementaux sur la recherche des contacts dans le cadre de la COVID-19 ou sont membres du Comité de la sécurité de l’information. Les informations fournies dans la réponse apportée par les autorités belges n’ont pas dissipé ces préoccupations ».

Cette lettre laissée sans effet a obligé la Commission européenne à ouvrir, le 9 juin 2021, une procédure d’infraction contre la Belgique et à envoyer une lettre de mise en demeure pour violation de l’article 52 du RGPD, qui dispose que l’autorité de contrôle de la protection des données exerce en toute indépendance les missions et les pouvoirs dont elle est investie. Bruxelles avait laissé deux mois pour garantir la pleine indépendance de l’Autorité. Comme rien n’a bougé, la Commission a adressé, le 12 novembre 2021, un avis motivé à la Belgique pour les mêmes motifs. La Belgique disposait d’un délai de deux mois pour prendre les mesures qui s’imposent, faute de quoi la Commission pourrait décider de saisir la Cour de justice de l’Union européenne.

Frank Robben a finalement remis sa démission le 7 février 2022, évitant ainsi à la Belgique de faire l’objet de poursuites. Il s’était défendu en invoquant le fait que tous les membres externes de l’APD ont d’autres activités professionnelles, ce qui permet précisément de fournir une expertise externe.

Par ailleurs, le 20 avril 2022, le président du comité de direction de l’APD, David Stevens, et la directrice du service de première ligne, Charlotte Dereppe, ont été auditionnés par la commission Justice de la Chambre des représentants. Dans la lettre de convocation du 17 mars, il était reproché à David Stevens sa participation à la Task Force Corona et à la co-directrice lanceuse d’alerte Charlotte Dereppe ses absences aux réunions au Comité de direction. « L’intéressée n’assisterait plus aux réunions du comité de direction depuis le 24 mars 2020, ni physiquement ni par visioconférence. Elle justifierait ce choix en évoquant des violences verbales qu’elle aurait subies lors de réunions du comité de direction, et ajouterait qu’il lui semble inutile d’assister aux réunions vu le peu de cas qui est fait de ses avis. En lieu et place, l’intéressée fournit une note écrite dans laquelle elle commente les points de l’ordre du jour. Cette façon de procéder empêche toutefois que l’on discute du contenu de cette note ». Elle s’est défendue en invoquant un congé de maternité, pour une partie de la période, et une campagne de dénigrement qu’elle aurait subie lors de ces réunions. Tous deux font l’objet d’une procédure en révocation à la suite de dysfonctionnements et de conflits d’intérêts au sein de l’organe de contrôle.
Des lanceurs d’alerte
non protégés

Alexandra Jaspar a, de son côté, annoncé sa démission de son mandat au sein de l’APD, le 9 décembre dernier. Dans une vidéo, elle explique que « ce qu’on vous demande de faire en y siégeant, c’est de vous taire, c’est de laisser passer, de fermer les yeux, de cautionner (…). Et surtout de ne pas faire le travail d’une autorité de protection des données. »
De son côté, le secrétaire d’Etat à la Digitalisation, Mathieu Michel, a proposé un avant-projet de loi destiné à réformer l’APD, qui a été approuvé fin janvier par le conseil des ministres. Des garde-fous ont été mis en place pour l’indépendance de l’APD et des critères de révocation d’un membre du comité de direction ont été établis, notamment s’il a entravé le bon fonctionnement de l’APD « par ses actions ou ses inactions, ou s’il n’a pas respecté le fonctionnement collégial du comité de direction ».
La situation est en cours de normalisation et l’APD devrait rejoindre les standards imposés par l’article 52 du RGPD. En attendant, celles par qui le scandale a éclaté n’ont pas été épargnées. L’une a jeté l’éponge en démissionnant, l’autre se retrouve confrontée à une procédure de révocation, alors même qu’elle a œuvré pour une APD qui joue son rôle. Décidément, on prend toujours beaucoup de risque à être lanceur d’alerte. D’autant plus dans un pays qui n’a pas de législation protectrice. La Belgique n’a toujours pas transposé la directive européenne du 23 octobre 2019.

par Sylvie Rozenfeld

L'invité du mois

Interview / Henri Verdider

par Sylvie Rozenfeld

Géopolitique du numérique et risque de fragmentation

Le numérique est devenu géopolitique, théâtre d’enjeux de pouvoirs et de confrontations de valeurs. L’internet, infrastructure en partage, montre des signes de début de fragmentation, mais aussi de privatisation. La donnée, personnelle ou non, devient, elle aussi, géopolitique car elle génère des conflits d’ordre économique. Henri Verdier, ambassadeur pour les affaires numériques, ne pense pas que le RGPD, le DSA ou le DMA contribuent à fragmenter l’internet et nous explique pourquoi. Il expose les conditions d’une souveraineté numérique, qui, selon lui, ne passe pas nécessairement pas l’intégration nationale d’une filière industrielle, mais plutôt par la capacité d’agir, grâce à la possession de compétences, et le recours aux logiciels libres, à l’open source et aux communs. Une vision non agressive de la souveraineté.

Sylvie Rozenfeld : La donnée, vous connaissez bien le sujet : vous avez été entrepreneur dans le numérique, vous avez dirigé Etalab, le service du Premier ministre chargé de l’ouverture des données publiques, vous avez été nommé administrateur général des données, puis directeur interministériel du numérique et du système d’information et de communication de l’État (DINSIC). Aujourd’hui, vous êtes ambassadeur pour les affaires numériques, au sein du ministère des Affaires étrangères.
Le numérique est devenu un objet hautement géopolitique, qui a redessiné les enjeux de puissance et de concurrence internationale. Après avoir été ouvert, libre, global, porteur d’un espoir de dépassement des frontières, l’internet semble suivre une tendance inverse. On parle de relocalisation, de balkanisation ou de fragmentation de l’internet, suivant les partis pris idéologiques : libertarien, démocratique ou autoritaire. Dans votre rapport d’activité 2020, vous faisiez vous-même le constat d’un repli et d’une instrumentalisation de l’internet par certains Etats : contrôle, censure, utilisation à des fins autoritaires. Ces tendances bouleversent les équilibres géopolitiques et menacent les principes fondateurs. Est-on vraiment en train de recréer des frontières, est-ce possible d’inverser cette tendance ? Comment ?

Henri Verdier : Quand on parle d’internet, on évoque plusieurs infrastructures superposées mais très différentes. Or, on n’analyse pas de la même manière les mouvements de balkanisation, suivant les couches. Nous avons d’abord une couche matérielle avec des câbles, des routeurs, des satellites, des télécoms pour accéder à internet. Aujourd’hui, cette couche n’est pas très menacée, sauf éventuellement par des actes de sabotage. Ensuite, il y a la couche d’internet proprement dite, le protocole TC/PIP, par exemple, qui permet le web mais aussi l’email : c’est constitué d’une couche logique. Cette infrastructure est unique, elle est partagée par toute l’humanité et gouvernée de manière multilatérale entre Etats, et surtout multi-acteurs. Tous les dix ans est organisé un forum mondial de la société de l’information et tous les ans le Forum de la gouvernance de l’internet (IGF). Ainsi depuis cinquante ans, les décisions sont prises collégialement. Sur cette couche, je crois qu’il existe un risque de fragmentation de l’internet.
Et enfin, certains évoquent le fait que le RGPD, le DSA ou le DMA pourraient contribuer à fragmenter l’internet. Ici, je voudrais apporter une précision importante : il faut comprendre que nous avons une infrastructure en partage qui permet d’innover, d’apporter de la puissance à des citoyens, à des collectifs et aussi à des géants mondiaux. Ces entreprises dont les plus célèbres sont Facebook, Google, Tik-Tok, etc., se sont posées sur internet mais elles ne sont pas l’internet. Elles ont profité des infrastructures pour proposer des services privés. Quand vous allez sur leur site, vous sortez d’internet et vous entrez dans un espace privé qui a ses propres règles. Sur Facebook par exemple, vous adhérez à des conditions générales d’utilisation et vous n’êtes pas libre d’y faire ce que vous vous voulez. En plus, ce n’est pas ouvert, car on ne connaît pas les algorithmes de propagation de contenus. Ce n’est pas neutre puisqu’il y a de la sélection de contenus, en rapport avec son business model. On peut très bien défendre l’ouverture, la neutralité et le caractère mondial du cœur public d’internet et la gouvernance partagée avec la recherche, les entreprises et la société civile et, en même temps, défendre un droit de réguler les entreprises qui se sont posées sur internet. C’est presque la même différence qu’entre les routes et les voitures.

Le risque de fragmentation de l’internet ne vient-il pas de la Russie ou de la Chine ?
Bien sûr, nous avons les célèbres exemples du Runet russe et du China Wall. Mais ce n’est pas le pire que nous puissions envisager car cela se passe sur le même internet, le même protocole, les mêmes routeurs, les mêmes câbles.

Et la Chine possède son propre système de nommage.
Elle a son propre DNS, la Russie aussi mais on reste dans la même logique. Ils utilisent la même grammaire mais ils ont leur propre annuaire. Et l’Europe, pour des raisons diamétralement opposées, est en train de mettre en place un DNS pour contribuer à la résilience globale du système et s’assurer qu’il y aura moins de censure car il y aura plus d’offres. La société Huawei a proposé à l’Union internationale des télécoms de discuter d’un nouveau protocole TCP/IP. Ce qu’en cinquante ans personne n’avait fait. Ils proposent un modèle plus supervisé, plus efficace et plus robuste. Or, si c’est davantage supervisé, c’…

Les doctrines du mois

propriété intellectuelle

Les noms de domaine décentralisés

Par Nathalie Dreyfu

Un nom de domaine décentralisé ne se loue pas : il s’achète. Il est inscrit sur la blockchain, ce qui permet de rapporter la preuve de la propriété du nom de domaine. Quelle stratégie pour les noms de domaine du web 3.0 ?

Données personnelles

Le Royaume-Uni adopte ses clauses contractuelles types

Par Marc LEMPERIERE

Les clauses contractuelles types adoptées récemment par l’ICO constituent à la fois un instrument de compétitivité économique et une menace pour le statut d’adéquation du Royaume-Uni.

RGPD

Pratique de négociation des éditeurs

Par Rami KHATER

Retour d’expérience de certains des apports du RGPD sur le contenu et sur les pratiques des négociations des contrats de licence entre éditeurs et clients établis sur le territoire de l’Union européenne.

Prospective

Métavers & Cie : un monde virtuel en construction

Par Daniel GUINIER

Bien que les environnements virtuels multi-utilisateurs soient opérationnels, il reste encore à passer à l’implémentation technique du métavers. Son horizon et son potentiel sont toutefois mal définis et ils restent à évaluer sous plusieurs angles : éthiques, sociaux, etc

Données

Mémoire numérique : enjeux et perspectives

Par Myriam Quéméner

La mémoire numérique peut être définie comme le stockage de données sur de nombreux supports de notre vie quotidienne, allant du téléphone mobile à l’ordinateur de bureau1. Si ce terme était jusqu’alors plutôt utilisé pour désigner l’open data en matière de décisions judiciaires2, il est intéressant de l’envisager plus largement à la fois pour des données numériques mais aussi comme preuve essentielle à la caractérisation d’infractions pénales.

RGPD

L’employeur peut-il récupérer les données effacées par un salarié ?

Par Alexandre FIEVEE

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question soumise à l’autorité belge de protection des données (l’APD), de savoir si l’employeur est légitime à récupérer dans un ordinateur professionnel les données qu’un salarié a supprimées et, dans l’affirmative, sous quelles conditions.

Expertises : Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

FORMULES D'ABONNEMENT

EXPERTISES N°431
EXPERTISES N°467
EXPERTISES N°449
EXPERTISES N°470
EXPERTISES N°457
EXPERTISES N°457
  • + Les alertes d’actualité de legalis.net, avec des présentations
    de décisions de justice en exclusivité
  • + Le carnet MOLESKINE série limitée « EXPERTISES », au format 13*21cm, disponible exclusivement  pour nos abonnés