Expertises
Droit, technologies & prospectives

interview / Yann Padova

Covid 19 & données personnelles
De la défiance à la confiance

Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

Nos derniers numéros

EXPERTISES N°457 - mai 2020 - Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” title=”EXPERTISES N°457 – mai 2020 – Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” description=”EXPERTISES N°457 – mai 2020-  Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova”></div>
<div class=N°457 – mai 2020
EXPERTISES N°456 - avril 2020 - Pour l’ouverture<br>des données privées / Laurent Lafaye” title=”EXPERTISES N°456 – avril 2020 – Pour l’ouverture<br>des données privées / Laurent Lafaye” description=”EXPERTISES N°456 – avril 2020-  Pour l’ouverture<br>des données privées / Laurent Lafaye”></div>
<div class=N°456 – avril 2020
EXPERTISES N°455 - mars 2020 - Profilage :<br> pratiques & parades / Cédric Lauradoux” title=”EXPERTISES N°455 – mars 2020 – Profilage :<br> pratiques & parades / Cédric Lauradoux” description=”EXPERTISES N°455 – mars 2020-  Profilage :<br> pratiques & parades / Cédric Lauradoux”></div>
<div class=N°455 – mars 2020
EXPERTISES N°454 - février 2020 - La robustesse de<br>la PI face A l’IA / Franck Macrez” title=”EXPERTISES N°454 – février 2020 – La robustesse de<br>la PI face A l’IA / Franck Macrez” description=”EXPERTISES N°454 – février 2020-  La robustesse de<br>la PI face A l’IA / Franck Macrez”></div>
<div class=N°454 – février 2020
EXPERTISES N°453 - janvier 2020 - RGPD : une révolution dans la continuité / Ariane MOLE
N°453 – janvier 2020
EXPERTISES N°452 - décembre 2019 - le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” title=”EXPERTISES N°452 – décembre 2019 – le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” description=”EXPERTISES N°452 – décembre 2019-  le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche”></div>
<div class=N°452 – décembre 2019
EXPERTISES N°451 - novembre 2019 - Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” title=”EXPERTISES N°451 – novembre 2019 – Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” description=”EXPERTISES N°451 – novembre 2019-  Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus”></div>
<div class=N°451 – novembre 2019
EXPERTISES N°450 - octobre 2019 - Numérique :<br>le défi fiscal / Frédéric Douet” title=”EXPERTISES N°450 – octobre 2019 – Numérique :<br>le défi fiscal / Frédéric Douet” description=”EXPERTISES N°450 – octobre 2019-  Numérique :<br>le défi fiscal / Frédéric Douet”></div>
<div class=N°450 – octobre 2019
EXPERTISES N°449 - septembre 2019 - L'impérialisme<br>juridique / Olivier de Maison Rouge” title=”EXPERTISES N°449 – septembre 2019 – L’impérialisme<br>juridique / Olivier de Maison Rouge” description=”EXPERTISES N°449 – septembre 2019-  L’impérialisme<br>juridique / Olivier de Maison Rouge”></div>
<div class=N°449 – septembre 2019
EXPERTISES N°448 - juillet 2019 - DPO : un métier<br>qui s’installe / Paul Olivier Gibert” title=”EXPERTISES N°448 – juillet 2019 – DPO : un métier<br>qui s’installe / Paul Olivier Gibert” description=”EXPERTISES N°448 – juillet 2019-  DPO : un métier<br>qui s’installe / Paul Olivier Gibert”></div>
<div class=N°448 – juillet 2019
EXPERTISES N°447 - juin 2019 - Le RGPD : du droit sans vision stratégique / Julien Nocetti
N°447 – juin 2019
EXPERTISES N°446 - mai 2019 - IGN : la gratuitE des données en question / Marie Pisan
N°446 – mai 2019
EXPERTISES N°445 - avril 2019 - Nom de domaine un actif et des risques / Nathalie Dreyfus
N°445 – avril 2019
EXPERTISES N°444 - mars 2019 - Les logiciels libres, un modèle mature / Benjamin Jean
N°444 – mars 2019
EXPERTISES N°443 - février 2019 - Résister à la gouvernance algorithmique / François Pellegrini
N°443 – février 2019
EXPERTISES N°442 - janvier 2019 - Anticiper sa survie numérique au-delà de sa mort / Mathieu Fontaine
N°442 – janvier 2019
EXPERTISES N°441 - décembre 2018 - Intelligence artificielle et médecine quelle éthique pour demain ? / David Gruson
N°441 – décembre 2018
EXPERTISES N°440 - novembre 2018 - Blockchain AS A SERVICE Démocratisation de la blockchain ? / Marc-Antoine Ledieu
N°440 – novembre 2018
EXPERTISES N°439 - octobre 2018 - Nathalie Nevejans / Nathalie Nevejans
N°439 – octobre 2018
EXPERTISES N°438 - septembre 2018 - Pour la médiation judiciaire en  propriété  intellectuelle / Françoise Barutel Naulleau
N°438 – septembre 2018
EXPERTISES N°437 - juillet 2018 - Science-fiction : quand l’imaginaire devient source de droit / Fabrice Defferrard
N°437 – juillet 2018
EXPERTISES N°436 - juin 2018 - CONTRATS, Accès indirects & coûts cachés : SAP BRISE LA GLACE AVEC Ses utilisateurs / Gianmaria Perancin
N°436 – juin 2018
EXPERTISES N°435 - mai 2018 - L’innovation prédatrice Un nouveau défi pour le droit de la concurrence / Thibault Schrepel
N°435 – mai 2018
EXPERTISES N°434 - avril 2018 - LES données LA NOUVELLE INGENIéRIE  DU POUVOIR / Adrien Basdevant
N°434 – avril 2018
EXPERTISES N°433 - mars 2018 - L’open data de la jurisprudence : Le casse-tête de l’anonymisation / Loïc Cadiet
N°433 – mars 2018
EXPERTISES N°432 - février 2018 - RGPD : vers un futur standard global / Max Schrems
N°432 – février 2018
EXPERTISES N°431 - janvier 2018 - L’angoisse du RGPD la Cnil rassure / Jean Lessi
N°431 – janvier 2018
EXPERTISES des systèmes d’informationmai 2020 – N°457

L'édito du mois

Propriété en trompe-l’œil

Instagram affirme dans ses conditions générales que les utilisateurs restent propriétaires de leurs contenus postés sur la plateforme. Pourtant, les photographes, y compris les professionnels, ne peuvent s’opposer à ce qu’un média en ligne intègre dans ses articles une photo postée sur un compte public. Ainsi en a décidé la cour du district sud de New York, dans un jugement rendu le 13 avril 2020. Encore une illustration de la puissance des CGU.

Dans cette affaire, le site américain Mashable souhaitait publier un article sur le travail de dix femmes photographes. Suite au refus d’une d’entre elles, le site du groupe Ziff Davis décide de passer outre en intégrant une photo publiée sur le compte Instagram de l’artiste. Pour ce faire, il a exploité une fonctionnalité de la plateforme qui permet d’intégrer une image sans avoir à la télécharger grâce à une technique appelée « embed ». Ainsi, l’image n’était pas stockée sur le serveur de Mashable, mais restait sur Instagram. Le juge américain a fondé sa décision sur les CGU de la plateforme qui prévoient que les utilisateurs lui accordent « un droit non-exclusif, libre de droits, transférable, sous-licenciable et mondial » pour chaque image postée. Lorsqu’une photo est publiée sur un compte public, l’intégration sur un site tiers (embed) constitue donc, selon le juge, un droit de sous-licence. En postant une image sur son compte public, la photographe est donc considérée avoir donné son accord à cette intégration.

Aujourd’hui, Instagram avec son milliard d’utilisateurs est incontournable. Un photographe se doit d’avoir un compte Instagram, une des premières choses qu’une galerie va regarder. Mais ce n’est pas sans implication juridique. Instagram n’a pas choisi le modèle de publication de FlickR, autre site de partage de photos qui a perdu de son audience, et qui propose toute une déclinaison de licences Creative Commons où l’utilisateur peut choisir de tout autoriser ou de tout interdire, en passant par plusieurs nuances d’autorisation.

Même s’il est attaqué par des contrats d’adhésion qui s’impose aux utilisateurs du monde entier, le droit positif n’est pas mort. Aux Etats-Unis, la photographe a perdu une bataille mais elle a fait appel. En France, le droit d’auteur et le droit de la consommation peuvent mettre le holà à ces concessions de droit forcées. L’article L 131-1 du CPI interdit la « cession globale des oeuvres futures ». Et l’article L 131-3 prévoit que la transmission des droits de l’auteur est subordonnée à la condition que chacun des droits cédés fasse l’objet d’une mention distincte dans l’acte de cession et que le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée. Le TGI de Paris a déjà jugé abusives de telles clauses dans les décisions Twitter et Facebook. Mais pour obtenir ces victoires, il faut du temps, de l’énergie et de l’argent. C’est ainsi que les CGU finissent par s’imposer.

Le focus du mois

Données

Une alternative à Palantir

Le géant américain de l’analyse de données profite de la crise sanitaire pour proposer des services aux gouvernements. Saurons-nous tirer parti de cette crise pour construire un géant français des données ?

Contrairement à la NHS britannique ou l’Etat allemand de Rhénanie du Nord-Westphalie, l’AP-HP (Assistance publique des hôpitaux de Paris qui représente 39 hôpitaux) a décliné l’offre de Palantir, qui proposait ses services pour l’aider à localiser et analyser la propagation du virus mais également à gérer les pénuries de stock au sein des hôpitaux ou encore à aider les autorités à prévoir des sorties de crise pour penser l’après-confinement.

L’AP-HP s’est contentée de confirmer sa décision, suite aux révélations de l’agence Bloomberg, sans préciser les raisons qui l’ont conduite à se passer des services de la société qui sait donner du sens à des données éparses et disparates. Les motifs sont sans doute moins technologiques que politiques.

Aujourd’hui, aucune solution française aussi puissante n’est opérationnelle. Mais l’ambition existe, d’autant que nous avons les compétences et les données. C’est d’ailleurs pour les exploiter que le Health Data Hub a été créé et lancée en décembre dernier. Pas plus tard que le 22 avril, a été publié au JO un arrêté du ministère de la Santé du 20 avril 2020 qui autorise le transfert de nouvelles données personnelles à la plate-forme nationale des données de santé pour les besoins de « gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 ».

Palantir a été créée en 2003 en partie avec le soutien du fonds d’investissement de la CIA In-Q-Tel et propose deux plateformes logicielles d’intégration et d’interprétation des données – Gotham orientée vers les activités de police et de renseignement et Foundry destinée au secteur privée – pour les assembler, les trier et les réorganiser, afin d’élaborer des corrélations susceptibles de trouver des solutions et faciliter la prise de décisions. Ses clients sont la CIA, la NSA, le FBI, leurs homologues britanniques, la DGSI en France pour la lutte contre le terrorisme, mais aussi des banques, des assurances, Airbus, et même le Consortium international de journalistes d’investigation (ICIJ) qui a notamment révélé le scandale des Panama Papers après traitement de « tonnes » de données.

Aujourd’hui, Palantir investit le domaine de la santé, nouvel axe de croissance. Elle communique sur le fait qu’elle a aidé à mieux combattre le choléra, apparu en 2010 en Haïti.

Et elle profite de la crise sanitaire mondiale liée au covid-19 pour proposer ses services aux différents gouvernements. Déjà aux Etats-Unis, la société a conclu un contrat à long terme avec le Center for Disease Control and Prevention et travaille avec cette agence pour combattre l’expansion du virus. En Grande-Bretagne, un accord a été conclu avec le National Health Service NHS relatif à la constitution d’un “datastore” du COVID-19 permettant à l’administration britannique d’avoir accès à « des informations en temps réel sur les services de santé, montrant où la demande augmente et où les équipements critiques doivent être déployés ». Et des pourparlers ont été initiés avec les autorités françaises, allemandes, autrichiennes et suisses pour fournir des services d’exploitation de données aux hôpitaux afin de les aider à améliorer leur fonctionnement et à contrôler la propagation de la pandémie.

Alors si la plateforme est si performante, quel est le problème Palantir ?

La question se pose d’abord en termes de souveraineté numérique et de souveraineté médicale. On risque de se retrouver dépendant d’un acteur étranger mais aussi de renforcer sa domination. Auditionné en mars 2018 par la Commission de la défense nationale et des forces armées de l’Assemblée nationale, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), confiait aux députés son questionnement sur le recours à ces plateformes dans des domaines stratégiques.

Selon lui, « Il va de soi qu’il faut par exemple déconnecter les logiciels Palantir, qui permettent d’effectuer des recherches dans les données, car il est hors de question que l’éditeur Palantir ait accès aux données opérationnelles traitées par le logiciel. ». Puis qu’est-ce qui nous garantit que les Américains ne puissent pas accéder aux données via une back door, une porte dérobée sur leurs serveurs ?
Après le scandale de la NSA, on ne peut pas l’exclure.

Si la DGSI prétend que Palantir n’a la main que sur son réseau interne, en assurant avoir pu vérifier l’étanchéité du système, l’AP-HP ne possèderait pas, par exemple, un tel niveau de sécurité. Par ailleurs, Palantir est une société américaine, donc soumise au Cloud Act qui l’oblige à permettre aux autorités américaines, sur requête, d’accéder aux données en leur possession. Dans ces conditions, il demeure fondamental de sanctuariser nos données de santé, données ô combien sensibles et stratégiques.
Pour toutes ces raisons, peut-on y renoncer ? Le ministère de l’Intérieur a considéré que non et a renouvelé son contrat en 2019

Pourtant la France dispose d’atouts pour construire une alternative au géant américain : une recherche en médecine et en mathématiques appliquées de pointe, une base de données médico-administratives exceptionnelle, de nombreuses cohortes, des registres et données hospitalières, et un riche écosystème de start-up. Depuis le 1er décembre, nous avons un système de base de données et de services liés : le Health Data Hub qui devrait permettre de croiser les bases de données de santé et de faciliter leurs utilisations par les nombreuses équipes de recherche et de développement. Toutes les autorités, le Président de la République en premier, sont convaincues que l’intelligence artificielle va révolutionner la médecine. Alors que nous manque-t-il pour fonder ce géant de la donnée ? Une vision stratégique et un leadership.

par Sylvie Rozenfeld

L'invité du mois

Interview / Yann Padova

par Sylvie Rozenfeld

Covid 19 & données personnelles : de la défiance à la confiance

La stratification des lois sécuritaires qui se pérennisent ainsi que l’exploitation massive des données personnelles par les géants du numérique a rendu la population sensible, voire méfiante, à l’égard de l’utilisation des données personnelles, même dans un contexte de crise sanitaire. Selon Yann Padova, il est possible d’utiliser des outils technologiques fonctionnels pour gérer cette crise qui soient respectueux de la protection des données personnelles. A condition de les concevoir avec un process rigoureux au regard du RGPD, prérequis indispensable à la confiance.

Sylvie Rozenfeld : Vous êtes responsable de la pratique “données personnelles”, chez Baker & McKenzie. Vous avez été secrétaire général de la Cnil et commissaire de la Commission de régulation de l’énergie (dont la loi impose que l’un des six commissaires soit spécialiste de la protection des données personnelles). Et dernièrement, vous vous êtes porté candidat, avec le soutien du gouvernement, pour être contrôleur européen des données (CEPD ou EDPS en anglais), suite au décès de Giovanni Butarelli. Vous étiez finaliste. C’est en tant qu’expert français en matière de protection des données personnelles que j’aimerais recueillir votre point de vue sur la crise actuelle et les solutions technologiques proposées. Les données personnelles sont au centre des débats. Une partie de la population est réticente à l’utilisation de ses données. Elle a pourtant accepté la privation d’une liberté essentielle qui est celle d’aller et venir mais elle reste méfiante à l’égard de l’exploitation de ses données, même anonymisées, pour faciliter le déconfinement. Etes-vous étonné par une telle attitude, à la fois par la crainte de la population et par la prudence du gouvernement ? Aurait-elle été la même, il y a 20 ans, voire 10 ans, avant la domination des Gafa par l’exploitation des données, avant le RGPD ?

Yann Padova : La lutte contre l’épidémie a restreint les libertés fondamentales, notamment celle d’aller et venir mais il y en a d’autres. Les libertés de réunion et de manifestation sont aujourd’hui suspendues. Je pense que la réticence de la population au recours aux technologies ne vient pas forcément de l’ampleur de l’exploitation des données personnelles par les Gafa. Quand vous regardez les études d’opinion, c’est davantage le risque d’une surveillance ou d’une ingérence étatique qui fonde cette réticence. En fait, il faut remonter à 2001, date de la loi sur la sécurité quotidienne et aux années qui ont suivies où l’on a assisté à un empilement progressif et systématique de lois de surveillance, autorisant toujours davantage de collecte de données pour des destinataires toujours plus nombreux, notamment celles dans le cadre de la lutte contre le terrorisme pour la sécurité publique. Toutes ces lois, douze au total, ont toujours été introduites à titre expérimental ou temporaire, avec en théorie un rapport d’évaluation qui devait permettre au Parlement de décider de la pérennisation du dispositif. A chaque fois, les lois ont été pérennisées sans même être évaluées.

L’exemple le plus proche est celui de l’état d’urgence dans le cadre de la lutte contre le terrorisme qui est entré dans le droit commun.
Exactement. Nous assistons à un continuum en la matière qui grignote imperceptiblement un certain nombre de libertés et de principes fondamentaux et qui modifie structurellement l’équilibre entre sécurité et liberté. La grande peur des observateurs, et d’une partie de l’opinion publique, est l’effet cliquet. Est-ce qu’on va assister dans le domaine sanitaire à ce qui s’est passé dans le domaine sécuritaire ? Les collectes de données qui vont être mises en place vont-elles perdurer pour d’autres usages et d’autres finalités ? La surveillance massive est quasiment indolore, invisible et déjà répandue. Et il est très difficile de revenir en arrière une fois qu’elle est installée. Cet effet cliquet explique, selon moi, la réserve des personnes. J’avais développé cet argument dans une plaidoirie devant la Cour de justice de l’Union européenne en septembre 2019 dans le cadre de questions préjudicielles renvoyées par le Conseil d’Etat (affaires C 511/18 et C 512/18) sur le caractère proportionné, équilibré et l’existence de garanties suffisantes des dispositions législatives françaises relatives à l’obligation de conservation généralisée des données de connexion par les opérateurs ainsi que sur la possibilité d’interception en temps réel des communications dans le cadre de la lutte anti-terroristes. La question est posée devant la CJUE quant à la faiblesse des garanties, notamment l’absence d’’information des personnes, mais a posteriori, et le défaut d’effectivité des recours dans le droit actuel. Je suis particulièrement sensible à cette stratification de textes.
Par ailleurs, en raison de l’exploitation massive des données par les grands acteurs du numérique et du succès du RGPD, les personnes sont devenues encore plus sensibles à l’utilisation qui est faite de leurs données. Cela participe donc de la prise de conscience des personnes sur les risques liés aux technologies.
Mais avant le RGPD, nous avions eu l’affaire Snowden, l’invalidation du Safe Harbor par la CJUE en raison de la surv…

Les doctrines du mois

Technologies

De l’usage d’un agent conversationnel par un enfant mineur

Par Amélie Beaux et Joséphine Arrighi de Casanova

Usages et bonnes pratiques des agents conver-sationnels à travers le prisme de l’interdisciplinarité droit et marketing

Prospective

… la crise suivante est bien là !

Par Daniel GUINIER

Premières leçons de cette nouvelle pandémie de Covid-19 et aide possible des technologies numériques

Données personnelles

Le monde de demain sera-t-il celui du « contact tracing » ?

Par Nicolas Moreau et Elise Dufour 

Dans l’attente d’un remède médical et de la mise à disposition généralisée de tests, quelles garanties mettre en œuvre dans un projet d’application de traçage pour contrebalancer les risques que la collecte massive de données de localisation et de santé peut engendrer ?

Données personnelles

COVID-19 : D’une surveillance anonymisée vers… une surveillance individualisée

Par Fabrice Degroote

Pour s’assurer du respect du confinement de masse, le gouvernement pourrait-il avoir recours aux techniques du « traçage numérique », à savoir de « contact tracing » ou « backtracking » pour identifier les citoyens français qui seraient atteints du COVID 19 et ceux en contact avec ceux-ci ? Ou bien encore pour suivre les traces numériques que nous laissons avec nos applications et autre smartphone, cette technologie de surveillance de masse est-elle envisagée pour gérer l’après confinement dans les mêmes conditions techniques appliquées lors du confinement dans certains pays ?

propriété intellectuelle

La cybercontrefaçon à l’heure du coronavirus: l’urgence d’une stratégie internationale

Par Myriam Quéméner

Tour d’horizon européen et international sur un phénomène endémique et sur les recommandations des autorités publiques nationales et internationales.

Contrats et RGPD

Responsable de traitement / sous-traitant : difficultés et risques de la qualification des parties

Par Océane Faroy et Julie Schwartz

Dans une relation commerciale impliquant des traitements de données à caractère personnel, il est essentiel de déterminer au préalable les rôles et responsabilités de chaque partie, une erreur de qualification pouvant avoir de lourdes conséquences sur la mise en œuvre de leur responsabilité. Après un premier article relatif à la négociation des contrats au RGPD, voici le second d’une série de sept articles consacrée à la problématique contrats et RGPD.

Droit de la preuve

Durée de conservation des documents : à ne pas confondre avec la durée légale !

Par Isabelle Renard

Même si la durée légale de conservation est écoulée, il ne faut pas détruire un document qui peut encore se révéler essentiel pour la défense des intérêts de l’organisation considérée, rappelle la cour d’appel de Paris.

Expertises : Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

FORMULES D'ABONNEMENT

EXPERTISES N°438
EXPERTISES N°433
EXPERTISES N°431
EXPERTISES N°453
EXPERTISES N°451
EXPERTISES N°451
  • + Les alertes d’actualité de legalis.net, avec des présentations
    de décisions de justice en exclusivité
  • + Le carnet MOLESKINE série limitée « EXPERTISES », au format 13*21cm, disponible exclusivement  pour nos abonnés