Expertises
Droit, technologies & prospectives
interview / Antoine Dubus
Data brokers :le trou noirdes données personnelles
Droit, technologies & prospectives
Tous les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros
N°451 – novembre 2019
N°450 – octobre 2019
N°449 – septembre 2019
N°448 – juillet 2019
Sommaire
Edito
Focus
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
Doctrines
Le sosie numérique : quel contrôle sur l’image d’une personne ?
DSP2 ACTE II : un départ compliqué
Vers une « gamification » du droit
Bouton « J’aime » : co-responsabilité du site et de Facebook
Pas de grigri sur un contrat signé électroniquement
L'édito du mois
Fragile bouclier
Pour Vera Jourova, commissaire européenne pour la Justice, « avec 5 000 sociétés participantes, le bouclier de protection des données est une réussite », « a success story » dans la version anglaise du discours. Le 23 octobre 2019, la Commission européenne a donc donné son approbation au Privacy Shield dans son troisième rapport de suivi annuel de cet accord. Elle s’est réjouie des améliorations apportées et de la nomination (enfin !) d’un médiateur américain en la personne de Keith Krach, sous-secrétaire du département d’Etat. Elle a aussi rappelé qu’un nombre croissant de citoyens de l’Union font usage de leurs droits au titre du Privacy shield, sans donner plus de précisions, et a jugé que les mécanismes de recours appropriés fonctionnent correctement.
Ce satesficit diplomatique de la Commission européenne ne saurait cacher les faiblesses de cet accord, loin d’être complètement parfait en termes de protection, mais qui permet les indispensables transferts transatlantiques de données. Après avoir tapé du poing sur la table pour obliger Washington à désigner un médiateur, ce qui fut fait en juin, Bruxelles met de l’eau dans son vin. Pour mieux faire passer ses exigences ? La Commission demande en effet au département du Commerce de renforcer le processus de re-certification et de réduire le temps d’instruction, d’élargir les contrôles d’évaluation de la conformité des entreprises aux principes du bouclier des données, de développer des outils pour la détection des fausses déclarations, de diffuser des orientations concernant les ressources humaines. Elle estime aussi que la Commission fédérale du commerce devrait renforcer ses enquêtes sur la conformité avec les exigences de fond du bouclier des données et l’informer des enquêtes en cours.
Plus question de signer et de laisser vivre l’accord sans contrôle, comme ce fut le cas pour le Safe Harbor. Mais est-on vraiment plus protégé qu’avant ? Certes Google LLC, Facebook Inc., Microsoft Inc. et 11 de ses filiales ont adhéré au Privacy Shield. Mais qu’est-ce qui nous garantit contre la surveillance massive des communications dénoncée par Snowden, et à laquelle ces sociétés ont participé ?
C’est la question qui a été posée au Tribunal de l’Union européenne par la Quadrature du net, voici trois ans. L’association française estime que le Privacy Shield, bien que moins vague que le Safe Harbor, continue de permettre la surveillance de masse et demande son invalidation. Cette procédure est cependant suspendue à la décision de la Cour de justice de l’UE dans l’affaire Schrems. Dans la foulée de l’invalidation du Safe Harbor dans le cadre de son contentieux contre Facebook, Max Schrems s’est attaqué aux clauses contractuelles types de la Commission. Dans le cadre des onze questions préjudicielles posées, la Cour devra se prononcer sur le Privacy Shield.
L’arrêt est attendu pour la fin de l’année.
Le focus du mois
Reconnaissance faciale : vers « l’acceptabilité sociale »
En début 2020, le gouvernement va lancer l’application mobile d’identification basée sur la reconnaissance faciale, Alicem. Face aux inquiétudes, le secrétaire d’Etat au Numérique veut créer une « instance spécifique » et lancer un « débat citoyen ». Un pas vers l’ « acceptabilité sociale » prônée par les industriels du secteur.
En début 2020, le gouvernement va lancer l’application mobile d’identification basée sur la reconnaissance faciale, Alicem. Face aux inquiétudes, le secrétaire d’Etat au Numérique veut créer une « instance spécifique » et lancer un « débat citoyen ». Un pas vers l’ « acceptabilité sociale » prônée par les industriels du secteur.
Les services de police la réclame. Les industriels de la sécurité ont convaincu les pouvoirs publics de soutenir le développement de technologies françaises avant que les sociétés étrangères s’imposent sur notre territoire. Des expérimentations sont en cours à Nice, dans les aéroports et Alicem, une application de l’Etat d’authentification pour l’accès aux services utilisant la reconnaissance faciale, va être lancée au début 2020. Mais de sérieux freins psychologiques, éthiques et juridiques empêchent son déploiement. Cédric O, secrétaire d’Etat au Numérique, se veut cependant rassurant « Il ne faut pas avoir une vision exclusivement nihiliste de la reconnaissance faciale : il y a beaucoup d’usages qui, s’ils sont bordés juridiquement et techniquement, ne posent aucun problème et apportent de la simplification – par exemple, pour tout ce qui nécessite aujourd’hui de se présenter à un guichet ou pour valider une formation en ligne. Expérimenter est également nécessaire pour que nos industriels progressent ».
Si le gouvernement n’est pas, par principe, hostile à cette technologie, encore faut-il qu’elle fasse l’objet d’une « acceptabilité sociale », concept cher au secteur de la sécurité, mis en pratique pour la vidéosurveillance. Or, c’est loin d’être le cas aujourd’hui. Big Brother, Black Mirror mais aussi l’exemple chinois agissent comme autant de repoussoirs à cette technique d’identification ô combien intrusive. Pour rendre la reconnaissance faciale acceptable, puisqu’il n’est pas question de la refuser, le secrétaire d’Etat propose de créer, en coordination avec la Cnil, « une instance spécifique », composée de membres issus de l’administration et des régulateurs, sous la supervision de chercheurs et de citoyens. Il souhaite également instaurer un « débat citoyen » afin de faire émerger un équilibre entre usages, protection et libertés. Une mission parlementaire sur l’identité numérique a par ailleurs été confiée aux députées Paula Forteza et Christine Hennion, en collaboration avec le Conseil national du numérique, pour une période de six mois.
Au-delà des freins psychologiques, le droit dresse des garde-fous à l’implantation de technologies susceptibles d’être attentatoires à la vie privée. En la matière, point de vide juridique mais un RGPD dont les règles trouvent parfaitement à s’appliquer ici. Si la reconnaissance faciale ne fait pas l’objet d’un texte spécifique, cette technologie constitue un traitement de données biométriques qui est interdit, sauf si la personne y consent ou s’il est « nécessaire pour des motifs d’intérêt publics importants » (art. 9. 2 RGPD).
Cette notion de consentement est justement au cœur d’un recours de l’association La Quadrature du net contre le décret autorisant la création d’un moyen d’authentification électronique Alicem (authentification en ligne certifiée sur mobile). Il s’agit d’une application développée par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS) qui permet au propriétaire du smartphone de prouver son identité sur internet de manière sécurisée, avec un niveau de garantie « élevé » au sens du règlement européen eIDAS. Pour sécuriser la création de l’identité numérique, les personnes vont photographier les données de la bande MRZ de leur passeport biométrique qui seront comparées avec une vidéo, sorte de selfie filmée par la personne et envoyée sur les serveurs de l’ANTS. Une fois l’identité vérifiée, la vidéo sera effacée et les données personnelles ne seront stockées que sur le mobile. La Cnil a rendu un avis du 18 octobre 2018 (JO 16 mai 2019) dans lequel elle a émis de sérieuses réserves quant au libre consentement des personnes. Mais le gouvernement n’en a pas tenu compte.
Comme les données biométriques sont des données sensibles, l’utilisateur doit y consentir préalablement au traitement. En revanche, le refus de procéder à la reconnaissance faciale au moment d’activer le compte Alicem empêchera la création de l’identité numérique. Or, selon l’article 7. 4 du RGPD, il n’y a pas de consentement donné librement si la fourniture d’un service est déterminée par l’obtention de cet accord. La Cnil relève cependant que le ministère ne propose aucune alternative à la reconnaissance faciale, tel qu’un face à face en préfecture ou en mairie, une vérification manuelle de la concordance entre la vidéo et la photo du passeport, etc. En conséquence, la Cnil considère que « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant susceptible de lever l’interdiction posée par l’article 9. 1 du RGPD ». Elle note, par ailleurs, qu’il n’a pas été démontré que le traitement serait « nécessaire pour des motifs d’intérêt public important ».
La Quadrature du net, auteur d’une action contre les mairies de Nice et de Marseille, a pris le relais de la Cnil et a intenté un recours en annulation du décret devant le Conseil d’Etat. Elle invoque le défaut de base légale du traitement, du fait de l’absence de consentement librement donné. Le 17 octobre dernier, la Cnil s’est d’ailleurs prononcée contre l’expérimentation qui prévoit le recours à la reconnaissance faciale à l’entrée de deux lycées à Nice et Marseille. Elle a considéré que ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaît ni nécessaire, ni proportionné pour atteindre ces finalités.
Se pose aussi la question de la reconnaissance faciale en temps réel, notamment dans le cadre d’une « vidéosurveillance intelligente », par exemple pour identifier des terroristes dans une foule. Celle-ci est loin d’être infaillible ; il faut en effet que l’image soit prise dans des conditions optimales et similaires que le cliché stocké dans la base de données. Là encore, Cédric O, interviewé par Le Monde s’est dit partagé sur l’opportunité d’y recourir. « C’est d’une certaine manière, aux Français de choisir, car les décisions seront lourdes de conséquences. C’est le genre de décisions sur lequel vous ne revenez que très difficilement. Et nous avons une responsabilité vis-à-vis des générations à venir. Il ne faut toutefois pas se laisser emporter par une vision dystopique ni utopique de la reconnaissance faciale et se saisir de la question à un moment où le débat est encore relativement apaisé ».
Aujourd’hui l’usage de cette technologie est balbutiant et très encadré. Mais il suffit d’un attentat très meurtrier ou d’une actualité qui bouleverse la France pour que la défiance actuelle se transforme en solution miracle et que le droit soit réformé. L’histoire nous apprend que l’introduction d’une technologie d’exception le reste rarement. Le recours au fichier des empreintes génétiques, créé en 1998 à l’origine pour l’identification des tueurs en série, est aujourd’hui complètement banalisé. Comme l’usage de la vidéosurveillance. Qui fait encore attention aux caméras placées sur le domaine public ?
Si la reconnaissance faciale peut s’avérer fort utile, il faut prendre garde à ce qu’elle ne se répande pas sans nécessité absolue et sans qu’une alternative soit proposée. Il y va de notre liberté de circuler anonymement. On est très loin de la situation chinoise, mais on doit rester vigilant.
L'invité du mois
Interview / Antoine Dubus
Data brokers : le trou noir des données personnelles
Les data brokers ont des pratiques opaques en termes de collecte, de traitement et de vente des données personnelles. Pourtant, elles ont un fort impact sur le marché et donc sur la concurrence. Faute de données sur ces pratiques, l’étude sur le fonctionnement de l'industrie de la vente d'information et ses conséquences sur les consommateurs et les entreprises peut éclairer les régulateurs de la concurrence et de la protection des données personnelles. Telle est en effet la position d’Antoine Dubus qui vient de soutenir une thèse en économie intitulée « Vente stratégique d'information et concurrence dans les marchés numériques ».
Sylvie Rozenfeld : Vous avez soutenu une thèse en économie intitulée « Vente stratégique d’information et concurrence dans les marchés numériques », financée et effectuée au sein de la chaire Valeurs et politiques des informations personnelles de l’Institut Mines-Télécom. Vous décrivez comment ce marché opère et comment il affecte les consommateurs et les entreprises. Vous posez clairement le lien entre concurrence et données personnelles, et appelez les autorités de la concurrence et de la protection des données personnelles à agir conjointement. Nous savons peu de choses sur le fonctionnement du marché des données, marché opaque et hors champ des régulateurs. Pouvez-vous nous le décrire ?
Antoine Dubus : On note deux pratiques essentielles des data brokers. La première a pour finalité le marketing. Les data brokers entrent en contact avec les entreprises qui souhaitent accéder à de nouveaux consommateurs ou bien avec des clients de concurrents afin de leur proposer des offres avantageuses. Ils vont permettre le développement de bases de consommateurs pour ces entreprises. Par exemple, La Poste est un gros data broker en France. Elle détient des données fines sur les consommateurs à partir de son fichier des déménagés, issu des déclarations de changement d’adresse. Un fournisseur d’énergie va être très intéressé de savoir qui déménage et où afin de lui faire des offres. C’est un bon exemple d’usage des données personnelles pour des applications marketing car on sait qui cibler et quand le faire. Il s’agit là d’une pratique opaque chez une entreprise connue.
L’autre pratique emblématique des data brokers est celle des fichiers positifs ou de credit scoring qui consiste à noter chaque personne, plus particulièrement aux Etats-Unis, sur sa capacité à rembourser un emprunt bancaire ou un achat avec remboursement différé. La valeur ajoutée des data brokers réside dans le fait qu’ils détiennent des données très fines telles que celles des données de paiement, mais aussi des données collectées en ligne. Ensuite, ils vont centraliser les informations de toutes les banques et les croiser de façon à pouvoir noter chaque citoyen américain. Leur valeur ajoutée réside dans la centralisation : si une personne veut faire un emprunt dans deux banques aux Etats-Unis, celles-ci disposeront d’une information partagée grâce aux data brokers, contrairement à ce qu’il se passe en France.
En quoi ces activités sont-elles opaques ?
Ces activités plutôt classiques au demeurant ne sont pas opaques. Ce qui l’est, ce sont les pratiques de collecte, de traitement et de vente des données personnelles. Les cookies sont une grande source de collecte de données en ligne mais le consommateur n’est pas vraiment très conscient du type de données collectées par ces entreprises et pour quelles finalités. La réponse à la question de savoir quelle collecte pour quel traitement pour quel destinataire reste cependant floue. J’ai essayé de démontrer qu’au-delà de la collecte, le fait de vendre des données à un acteur plutôt qu’à une autre peut créer dans un marché des asymétries de concurrence potentiellement lourdes de conséquences.
En quoi les pratiques de data brokers affectent la concurrence ?
Parmi les intermédiaires de données, on trouve bien sûr les data brokers mais aussi des entreprises plus emblématiques du numérique telles que Facebook. On a découvert récemment que le réseau social donne accès à des flux de données très importants à certaines entreprises comme Lyft mais pas à des concurrents comme Uber. Avec les données personnelles, les entreprises peuvent ainsi affiner leurs pratiques marketing ou leurs offres à certains publics. Dans ma thèse, j’aborde la pratique économique de ciblage par les prix. Est-ce que deux personnes au même endroit, au même moment vont payer le même prix pour une même course ? Des études essaient de déterminer s’il y a des pratiques de discrimination tarifaires par des entreprises comme Uber et s’il y en a, elles seraient de toute façon basées sur les données personnelles. En donnant un accès préférentiel à des données, un data broker va favoriser une entreprise qui sera à même d’affiner ses produits, ses services, ses prix, tout en refusant cet accès à d’autres.
Quels sont les mécanismes d’achat et de vente d’information des courtiers en données ? Et quel effet cela produit-il en termes de concurrence ?
Dans ma thèse, j’ai établi le lien entre données personnelles et concurrence. On observe que la présence de données qui peuvent être distribuées, vendues ou échangées à des entreprises peut affecter la concurrence sur un marché, comme le cas de Lyft qui a un avantage co…
Les doctrines du mois
Le sosie numérique : quel contrôle sur l’image d’une personne ?
La création d’un sosie numérique d’une personne au moyen de l’intelligence artificielle apparaît relever d’une technique aujourd’hui mature. Le résultat est de plus en plus convaincant. Cette technique s’est développée, comme souvent, en faisant l’impasse sur ses implications juridiques, notamment sur les conséquences pour les personnes dont l’image est reprise et exploitée de leur vivant et pour leurs proches quand l’utilisation de l’image intervient post mortem. En droit français, il apparaît que, si des outils juridiques de contrôle existent pour la première situation, ils sont nettement plus limités pour faire face à des exploitations post mortem.
DSP2 ACTE II : un départ compliqué
C’est incontestable : le jeu envahit le secteur juridique. À cet égard, ce n’est pas la première édition de la « Legal Game Week » organisée par l’association Open Law et l’École des Avocats du Grand-Est (ERAGE) qui s’est tenue le 20 septembre dernier à Strasbourg qui démentira la montée en puissance de la gamification appliquée au droit. Dans un contexte charnière de transition de l’enseignement académique vers l’enseignement en ligne tel qu’avec les MOOCs1, le jeu s’impose comme un concept inédit dans la façon d’appréhender la discipline juridique. En explorant comment les serious game en passant par les quizz ou les escape games facilitent la transmission des connaissances sans se départir du ludisme, on constate que ces nouveaux outils offrent des pistes pertinentes aux juristes afin que l’enseignement du droit ne devienne pas synonyme de tâche fastidieuse.
Vers une « gamification » du droit
C’est incontestable : le jeu envahit le secteur juridique. À cet égard, ce n’est pas la première édition de la « Legal Game Week » organisée par l’association Open Law et l’École des Avocats du Grand-Est (ERAGE) qui s’est tenue le 20 septembre dernier à Strasbourg qui démentira la montée en puissance de la gamification appliquée au droit. Dans un contexte charnière de transition de l’enseignement académique vers l’enseignement en ligne tel qu’avec les MOOCs1, le jeu s’impose comme un concept inédit dans la façon d’appréhender la discipline juridique. En explorant comment les serious game en passant par les quizz ou les escape games facilitent la transmission des connaissances sans se départir du ludisme, on constate que ces nouveaux outils offrent des pistes pertinentes aux juristes afin que l’enseignement du droit ne devienne pas synonyme de tâche fastidieuse.
Bouton « J’aime » : co-responsabilité du site et de Facebook
Dans un arrêt attendu du 29 juillet dernier1, la CJUE a estimé que l’éditeur d’un site internet insérant le bouton « J’aime » de Facebook sur l’une de ses pages, pouvait être considéré comme co-responsable avec ce réseau social de certains traitements de données personnelles opérés grâce à ce module. Retour sur une décision qui devrait avoir un impact non négligeable sur l’utilisation des modules sociaux sur la toile.
Pas de grigri sur un contrat signé électroniquement
La cour d’appel d’Aix en Provence a rendu le 19 septembre 2019 une décision de nature à ébranler les certitudes des prestataires de signature électronique qui jugent bon d’apposer une sorte de « grigri » imitant la signature sur la représentation visuelle du contrat signé électroniquement. Cette pratique ne peut que semer la confusion, et l’arrêt commenté en est une illustration frappante.
Tous les mois, toute l'actualité du numérique... Et tellement plus !
FORMULES D'ABONNEMENT
- + Les alertes d’actualité de legalis.net, avec des présentations
de décisions de justice en exclusivité
- + Le carnet MOLESKINE série limitée « EXPERTISES »,
disponible exclusivement pour nos abonnés au format 13*21cm