Expertises
Droit, technologies & prospectives
interview / Cédric Lauradoux
Profilage :
pratiques & parades
Droit, technologies & prospectives
Tous les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros
N°455 – mars 2020
N°454 – février 2020
N°452 – décembre 2019
N°451 – novembre 2019
N°450 – octobre 2019
N°449 – septembre 2019
N°448 – juillet 2019
Sommaire
Edito
Focus
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
Doctrines
L'édito du mois
Avocats modérés
Si même les avocats ne lisent pas les conditions générales d’utilisation des réseaux sociaux, qui va le faire ! C’est pourtant marqué noir sur blanc. « Il est interdit d’utiliser les services de Twitter d’une manière qui vise à amplifier ou à supprimer artificiellement des informations, ou d’adopter un comportement qui manipule ou perturbe l’expérience des utilisateurs », peut-on lire dans la « Politique en matière de manipulation de la plateforme et de spam » de Twitter qui figure parmi ses directives et politiques générales. Faute de ne pas avoir respecté les conditions de Twitter, le compte du Syndicat national des avocats (Snaf) a été suspendu, sans sommation ni explication. Censure ? Atteinte à la liberté d’expression ? Modération brutale, plus probablement.
Dans le cadre de la contestation de la réforme des retraites, le Snaf a posté le 15 février dernier un tweet identique à une centaine de députés LREM avec le message suivant : « M. Le député [identifiant Twitter du député] allez vous voter la #ReformeRetraites qui n’a rien d’universelle et va asphyxier les avocats notamment cx travaillant à l’AJ et dc empêcher l’accès au droit des classes populaires ? » @CNBarreaux @Conf_Batonniers
@pietraszewski_l @NBelloubet. Suite à cet envoi en nombre, le compte @Syndicatavocats du Snaf a été désactivé. Il a été réactivé le lendemain. Et ce n’est que tardivement que Twitter a motivé sa décision par « la publication de manière répétée de tweets identiques ». Cet incident a choqué la profession. Sa représentante, Christiane Féral-Schuhl, présidente
du Conseil national des barreaux, l’a qualifié d’« acte grave ». Et la présidente du Snaf a, de son côté, appelé Twitter à modifier ses règles « qui sont particulièrement floues ». Pour le cas d’espèce, la règle était assez claire.
Twitter se moque des avocats, de la réforme des retraites ou de la politique. Twitter a la difficile tâche de réguler les milliards de messages postés sur sa plateforme. Pour ce faire, les réseaux sociaux s’appuient sur des algorithmes aveugles et une armée de modérateurs humains mal payés. Dans ces conditions, pas facile d’atteindre le juste équilibre entre trop ou pas assez de modération, entre liberté d’expression, blocage des contenus illicites, lutte contre le harcèlement ou respect de la vie privée. Il revient normalement aux juges de trancher. Mais soyons sérieux, personne ne pense que les tribunaux soient en capacité de le faire. Et personne n’a de solutions efficaces à proposer. Alors on laisse les réseaux sociaux s’en charger, quitte à rectifier a posteriori.
Le focus du mois
Cybercriminalité Fake news : menace sur l’information corporate
Contre le phénomène du Corporate News Hacking ou de la diffusion de fausses informations financières, la loi n’est pas impuissante mais peu efficace. Pour se protéger, les sociétés sont de plus en plus nombreuses à se tourner vers la blockchain. Solution complémentaire mais imparfaite.
Le 11 décembre 2019, l’Autorité des marchés financiers a infligé une sanction de cinq millions d’euros à Bloomberg LP pour avoir diffusé des informations erronées sur la société Vinci, ce qui a entraîné une chute du titre de 18,28 %. Le 16 janvier 2019, BlackRock, le plus important gestionnaire d’actifs au monde, avait été victime d’une fausse nouvelle. Un faux email et un faux site avait annoncé un changement de politique de la société vers un engagement déterminé en faveur des énergies renouvelables.
Que l’on parle de fausses nouvelles, d’hoax ou de fake news, le phénomène sur internet n’est pas nouveau. Déjà en 1998, un faux site internet dédié au fabricant de bouteilles de vodka Belvédère avait provoqué la chute du cours de l’action. Par une décision du 9 janvier 2004 (voir Exp. n° 283, p. 287), le TGI de Paris avait condamné à 100 000 € d’amende la société Edelmann en charge de l’attaque informationnelle sur le fondement de l’article L. 465 du code monétaire et financier. « La justice nous a donné raison. Mais si nous avions compté que sur elle, nous serions morts aujourd’hui », nous avait confié le dirigeant de la société victime. Il avait préféré pactiser avec son ancien partenaire, à l’origine de la campagne d’intox.
Nous ne sommes pas confrontés à un vide juridique. Les armes juridiques contre les fake news ne manquent pas. Il y a bien sûr le vieux délit de fausses nouvelles, apparu en 1849 et qui figure désormais à l’article 27 de la loi de 1881, mais aussi la diffamation, le dénigrement, le délit d’initié ou en matière électorale ou la loi contre la manipulation de l’information du 22 décembre 2018. Mais plus que jamais aujourd’hui, les armes juridiques semblent bien impuissantes à lutter contre un phénomène qui a changé de dimension du fait de l’accélération du rythme de diffusion des informations, grâce aux technologies. Cette rapidité de communication s’est opérée aux dépens du temps nécessaire à la vérification alors que le flux d’informations est beaucoup plus important, rendant difficile un traitement sérieux par des journalistes. Par ailleurs, la profession paupérisée est de moins en moins spécialisée alors que la publication d’informations financières en temps réel s’impose sur des speed desks, comme c’est le cas de Bloomberg.
Les entreprises sont de plus en plus confrontées aux pratiques de Corporate News Hacking ou de manipulation de l’information des entreprises. Le but est le plus souvent l’appât du gain. Ainsi dans le cas de Vinci, les auteurs du communiqué frauduleux, qui annonçait la révision à la baisse de ses résultats et le licenciement de son directeur financier, ont joué à la baisse, puis à la hausse du cours : ils ont gagné deux fois en 30 minutes. Mais la manipulation peut aussi être le fait d’activistes agissant pour des raisons politiques, comme ce fut le cas dans l’affaire BlackRock où des hackers dénonçaient les excès du libéralisme.
Pour se prémunir contre la diffusion de ces fausses informations, certains se tournent vers la blockchain. La technologie commence à séduire les médias comme le New York Times pour authentifier les images et les vidéos, grâce au News Provenance Project. Du côté de l’information Corporate, la société française Wiztopic a compris qu’il y avait un besoin de sécurisation et y a répondu en créant Wiztrust, une plateforme de certification et de vérification de l’information des entreprises cotées en bourse, en utilisant la technologie de la blockchain. Wiztrust est gratuit pour le vérificateur ou le journaliste, tandis que l’émetteur des informations est facturé. Bouygues, le Crédit agricole, Renault Engie, Allianz entre autres utilisent ses services.
Est-ce que la blockchain offre une réelle garantie contre la désinformation financière ou corporate ? Cette technologie permet de s’assurer de la source et de l’intégrité du message, ce qui est déjà une bonne chose, mais pas de la véracité de l’information. Et c’est là que réside la vraie difficulté. Concernant l’information en général, la blockchain est un outil utile mais ne peut pas être la panacée, notamment quand il s’agit de texte dont le caractère inexact est plus difficile à détecter qu’une image digitalisée. Encore faudrait-il par ailleurs que le système devienne universel, à savoir que tout le monde adopte un système de gestion de contenu qui signerait numériquement les articles et les authentifierait à l’aide d’une chaîne de blocs.
Le problème est complexe et sa solution ne peut reposer sur la seule technologie. Elle devra être trouvée à travers un savant mélange de législation, de technologie et de bonnes pratiques. Car après tout, le problème des fake news n’est pas tant leur fabrication que leur diffusion, dans laquelle chacun a sa part de responsabilité. C’est toute la chaîne qui doit être sécurisée.
L'invité du mois
Interview / Cédric Lauradoux
Profilage : pratiques et parades
Pendant une dizaine d’années, la publicité ciblée a prospéré sans frein, en profilant et en traçant les internautes. Le RGPD aurait dû siffler la fin de la partie. Mais les pratiques n’ont guère changées. Pour ce faire, il faudrait prescrire des solutions techniques et des préconisations sur la manière de recueillir le consentement ; un premier pas que la Cnil est en train de franchir avec son projet de recommandations sur les cookies. Cédric Lauradoux dresse un panorama des pratiques plus ou moins opaques de collecte de données personnelles en vue de cibler les internautes et ce qui peut être entrepris pour les neutraliser. Il nous parle aussi des solutions développées par Privatics, l’équipe de recherche de l’Inria dont il fait partie.
Sylvie Rozenfeld : Vous êtes chercheur à l’Inria (Institut national de recherche en informatique et en automatique), membre de l’équipe Privatics qui étudie les nouvelles menaces sur la vie privée introduites par la société de l’information et qui conçoit des solutions préservant la vie privée. Vous êtes donc à la confluence du droit et de la technologie. Aujourd’hui, nous avons un règlement qui procure une protection juridique forte aux citoyens européens. Or, l’économie de l’internet, basée sur la publicité qui se nourrit d’une multitude de données personnelles pour profiler les personnes, n’a pas pour autant arrêté son ratissage de données et de traces laissées sur les réseaux. Avant d’en venir aux pratiques de ces acteurs, dont les personnes et les régulateurs connaissent mal ou comprennent mal le fonctionnement, j’aimerais vous poser une question plus générale.
Ne sommes-nous pas dans un monde schizophrénique, avec d’un côté des règles de droit fortes et de l’autre des pratiques opaques qui font fonctionner une économie qui passe à travers les gouttes, en maintenant les apparences de la licéité ?
Cédric Lauradoux : On a adopté ce règlement après avoir laissé faire tout et n’importe quoi sur l’internet. On peut voir le RGPD comme une tentative de nettoyer les écuries d’Augias, un des douze travaux d’Hercule. On a fait subir des dommages profonds à notre vie privée et ce règlement fort est bien sûr une bonne chose, mais il ne nous procure pas les moyens techniques pour le mettre en application. Cela explique l’énorme décalage entre les pratiques en ligne et ce qu’impose le règlement. Ce n’est pas une norme ou un standard technique au sens où l’entendent les informaticiens, comme peut l’être un document de l’IETF ou du W3C.
Le texte ne définit pas davantage la façon de rédiger un formulaire de consentement ou une bannière de cookie, ou la description d’un traitement sur des données personnelles. Il revient donc aux autorités de contrôle comme la Cnil de mener des campagnes d’audit pour vérifier la conformité au RGPD des traitements effectués par un site. Or, comme des normes technologiques n’ont pas été définies, chacun fait ce qu’il veut à sa manière. On se retrouve devant un énorme problème de passage à l’échelle puisqu’il est impossible aujourd’hui d’automatiser ces audits. Le RGPD n’a pas pour but de prescrire des solutions techniques mais les autorités de contrôle peuvent le faire. Elles pourraient rédiger des documents de mise en conformité afin de permettre la vérification de masse. Et c’est ce qui manque vraiment à l’heure actuelle. Il conviendrait qu’elles définissent des frameworks, des canevas technologiques que devraient respecter les sociétés afin que la mise en conformité et le contrôle soient plus faciles à réaliser avec des outils automatisés pour vérifier les pratiques comme l’absence de dark patterns pour l’obtention du consentement.
Aujourd’hui très réglementé, le profilage des personnes n’a pourtant jamais cessé. Il est essentiellement effectué par des entités tierces à des fins de ciblage publicitaire ou de personnalisation de services. Les méthodes sont de plus en plus efficaces et furtives, voire invisibles et donc difficilement détectables. Quelles sont ces techniques de plus en plus utilisées ?
Quand on parle de profilage en ligne, il faut d’abord distinguer le traçage direct du traçage par des tiers. Le traçage direct est effectué par les sites que nous visitons et nous en sommes plus ou moins conscients. Il concerne toutes les données de connexion que nous fournissons quand nous nous connectons à l’URL d’un site. Nous donnons notre adresse IP et des informations sur notre navigateur (user-agent) afin de permettre une visualisation optimale de l’URL. On peut aussi fournir des identifiants ou un cookie si l’on est inscrit sur le site en question ou si on l’a déjà visité. Tous ces éléments permettent de tracer un utilisateur même quand il est mobile (changement d’adresse IP) ou s’il change de navigateur. Il existe cependant des parades pour contrer ce type de traçage comme l’utilisation d’un proxy (un VPN par exemple) pour masquer l’adresse IP ou le camouflage du navigateur. Mais attention, ces solutions fonctionnent seulement si l’on reste déconnecté du site. Dès que nous nous reconnectons, le traçage primaire peut reprendre.
Le traçage par des tiers est un des enjeux majeurs qui se pose au RGPD. Un site inclut de nombreuses ressources qui sont fournies par des tiers. Parmi ces ressources, on trouve des scripts qui affichent de la publicité ou qui calculent des statistiques de fréquentation. Ces scripts vont eux aussi établir des cookies tiers. Un cooki…
Les doctrines du mois
La CJUE s’oppose à la « revente » d’ebooks
La fourniture au public par téléchargement pour un usage permanent d’un ebook relève de la notion de communication au public, selon un arrêt du 19 décembre 2019. Se fondant sur la directive 2001/29, elle rend une décision différente de celle retenue en matière de logiciels, qui avait conclu à un épuisement du droit de distribution du titulaire de droits.
La LCEN au soutien des marques ? Un essai non transformé
Pour la première fois, un tribunal ordonne le blocage de sites internet en matière de contrefaçon. Malgré les blocages ordonnés, il est toujours possible d’acheter des montres contrefaisantes sur un site, réplique du site bloqué. Le tribunal judiciaire, dans son ordonnance de référé du 8 janvier 2020 aurait pu aller plus loin.
Contentieux : ne ratez pas le tournant
Le contentieux sur la signature électronique est en pleine transformation, à mesure de la multiplication des cas et de la croissance des enjeux financiers. Décision après décision, les juges expriment leurs attentes, et le dernier arrêt rendu par la cour d’appel d’Aix en Provence en la matière permet de faire le point sur le sujet.
Encadrement de l’identifiant national de santé : Entre complexité et modernité
Le NIR va devenir l’identifiant national de santé destiné à référencer les données de santé et les données administratives des personnes, une des clés de voute de la numérisation de la santé dans des conditions de sécurité définies et encadrées. Ce premier article présente cet INS et l’obligation de l’utiliser. Un second, à paraître dans le prochain numéro, traitera du régime juridique de l’obligation d’utiliser l’identifiant national de santé.
Tous les mois, toute l'actualité du numérique... Et tellement plus !
FORMULES D'ABONNEMENT
- + Les alertes d’actualité de legalis.net, avec des présentations
de décisions de justice en exclusivité
- + Le carnet MOLESKINE série limitée « EXPERTISES », au format 13*21cm, disponible exclusivement pour nos abonnés