Expertises
Droit, technologies & prospectives
interview / Paul Olivier Gibert
DPO : un métier
qui s’installe
Droit, technologies & prospective
Tout les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros
N°448 – juillet 2019
Sommaire
Edito
Tabou
Focus
Frémissement de régulation sur l’IA
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
DPO : un métier qui s’installe
Doctrines
Prospective L’IA et la santé : un enjeu de confiance
L’obligation de sécurité : une obligation de moyen renforcée
La certification : nouvel outil d’accountability et de confiance
Adaptation de la loi Informatique et libertés au RGPD : clap de fin !
L'édito du mois
Tabou
Le numérique fait sauter les tabous les plus tenaces. Le dernier en date : la remise en cause de la loi de 1881 sur la liberté de la presse. La ministre de la Justice, Nicole Belloubet, a annoncé sur le site Internet du Journal du dimanche, le 15 juin dernier, qu’elle allait solliciter, avant d’envisager une réforme législative, la Commission nationale consultative des droits de l’homme (CNCDH) sur la sortie de certaines infractions de la loi sur la presse, comme l’injure ou la diffamation, pour les inscrire dans le droit pénal de droit commun.
La démarche est osée et, on s’en doute, vivement critiquée. Mais doit-on rester figer dans nos certitudes quand tout change ? La loi de 1881, comme son année d’adoption l’indique, est d’un autre âge. Avec les réseaux sociaux qui offrent à chacun la possibilité de s’exprimer sans filtre, les conditions ne sont plus les mêmes. Pour autant, ne risque-t-on pas de ruiner l’équilibre de cette loi en l’amputant de l’injure et de la diffamation, qui représentent près de 90 % du contentieux lié à cette loi ?
Plusieurs associations, dont la Ligue internationale contre le racisme et l’antisémitisme (Licra), plaident pour sortir les incitations à la haine raciale ou religieuse de la loi sur la presse et en faire des délits de droit commun. Des avocats spécialistes du droit de la presse, quant à eux, mettent en garde contre les risques de toucher à ce texte. « Ce n’est pas la loi de 1881 qui entrave la répression, mais plus sûrement l’inaction des parquets et surtout la difficulté d’identification des auteurs d’injures haineuses », estime le vice-batônnier Basile Ader. Selon lui, il serait préférable d’améliorer la réponse pénale : « Quand le message est évident et les conditions de flagrance sont réunies, le parquet pourrait agir en comparution immédiate pour injure raciale : il suffirait d’un alinéa de plus à l’article 54 de la loi de 1881 ».
Néanmoins, les réseaux sociaux lancent à la liberté d’expression un défi d’une nature jusqu’ici inconnue. Les propos racistes, haineux, injurieux prospèrent et le droit apparaît impuissant pour endiguer cette déferlante nauséabonde. « La loi n’est plus adaptée pour réprimer ces discours de haine. La loi du 29 juillet 1881 (…), inspirée par l’idéal révolutionnaire, était avant tout initialement destinée à préserver la liberté d’expression. Les parlementaires, dont l’objectif était alors d’éliminer la censure préventive des publications, ont multiplié les obstacles aux poursuites des organes de presse. Ces mesures sont devenues, avec l’évolution des médias et des réseaux de diffusion de l’information, des véritables facteurs d’obstruction à l’application de la loi pénale », a déclaré Catherine Champrenault, procureure générale de Paris, dans une tribune publiée dans Libération.
Pour l’instant, le législateur tâtonne sans trop de succès pour trouver une arme juridique efficace, que ce soit avec l’apologie du terrorisme introduite dans le droit commun par la loi du 13 novembre 2014 ou la loi anti-fakes news. Il faut continuer de chercher la parade, sans préjugés. Le risque est de voir les réseaux sociaux se transformer en censeur.
Le 3 juillet dernier, la proposition de loi Avia visant à lutter contre la haine sur internet a été discutée à l’Assemblée nationale. Une autre réponse face à la haine qui passe par la responsabilisation des réseaux sociaux. A voir.
Le focus du mois dernier
Cartographier les opinions : une pratique aux limites du licite
Le fichage par Monsanto des journalistes et des personnalités politiques opposants ou partisans du glyphosate pose la question de la licéité de ces cartographies.
Si le lobbying implique forcément de connaître finement ses alliés et ses opposants, il y a cependant des limites à ne pas franchir quand on les fiche. Monsanto, champion de l’influence agressive, les a peut-être dépassées avec la cartographie et le profilage de 239 personnalités publiques (journalistes, élus, membres d’ONG, etc.) concernées par l’herbicide Roundup à base de glyphosate, le produit emblématique du géant phytosanitaire Monsanto, racheté pour 56 milliards d’euros par l’Allemand Bayer. A la justice et à la Cnil de se prononcer.
Les faits remontent à 2016. Pour s’assurer l’attribution par la Commission européenne d’une autorisation de commercialisation de son herbicide pour quinze ans, Monsanto avait confié une mission d’influence à son agence habituelle de communication Fleischman-Hillard qui avait localement fait appel à Publicis consultants. En 2019, France 2 puis le quotidien Le Monde ont révélé l’existence d’une liste de personnalités ciblées en fonction de leurs positions sur le glyphosate. Ces fichiers se présentaient sous la forme de deux tableaux. Le premier, intitulé « Monsanto France base de données des parties prenantes – cultiver la confiance Monsanto » comportait les nom, fonction et coordonnées complètes de plus de 200 personnalités classées en fonction de leurs opinions sur les problématiques de l’entreprise (pesticides, OGM, santé, etc.) et évaluées sur une échelle de 1 à 5 en fonction de leur potentiel d’influence, leur crédibilité ou leur soutien à Monsanto. Un second tableau « FR Glyphosate cibles plan interactions » comptait, quant à lui, près de 80 noms associés à un code couleur pour « alliés », « alliés potentiels à recruter », « parties prenantes à éduquer », « parties prenantes à surveiller ». Par ailleurs, des notes en marge de ces documents indiquaient des mentions sur les loisirs de certains alliés potentiels.
Le 26 avril 2019, Le Monde et des journalistes du quotidien ont déposé plainte contre Monsanto. D’autres medias, des personnalités politiques suivront le quotidien dans cette voie. D’autres comme Le Parisien déposeront une plainte auprès de la Cnil. Le parquet de Paris a ouvert une enquête sur le fondement de la loi Informatique et libertés de 2004 (le fichage en question datant de 2016) : collecte de données personnelles par un moyen frauduleux, déloyal ou illicite, enregistrement de données sensibles sans l’accord de l’intéressé, transfert illicite de données et absence de déclaration du traitement.
Suite à ces révélations, Bayer a publié un communiqué le 12 mai dernier dans lequel il s’excuse pour son comportement (behavior). Il y a annoncé qu’il allait faire appel à un cabinet d’avocats pour examiner les accusations qui lui sont opposées, en l’occurrence le cabinet américain Sidley Austin, qui sera également chargé d’informer les personnes fichées sur les données collectées sur eux. Enfin Bayer a décidé de suspendre ses relations avec les deux agences de communication, à l’origine du fichage établi en France, mais aussi en Belgique, en Allemagne, aux Pays-Bas, en Italie, en Pologne, en Espagne et au Royaume-Uni.
Comme tous les groupements qui veulent intervenir dans les dossiers qui les concernent ou faire passer leurs idées ou leurs préoccupations auprès des décideurs publics, ils établissent une cartographie des personnes concernées par leurs problématiques. En 2013, Philip Morris avait fait scandale en profilant les députés français au Parlement européen classés suivant un code couleur dans la perspective de l’adoption de la directive sur le tabac. Le laboratoire Servier avait utilisé les mêmes méthodes dans le cadre de l’affaire Mediator. De son côté, Greenpeace a réalisé un mapping de 250 dirigeants, d’élus et d’experts pro-nucléaires en France pour démontrer leur influence. Certains n’utilisent que des données publiques, d’autres non.
Le scandale Monsanto pose la question de la licéité des cartographies. L’Association française des conseils en lobbying y a répondu par un communiqué, publié le 11 mai dernier, qui affirme que « ni le RGPD, ni la loi française n’interdisent en soit la constitution de documents, fichiers, cartographies contenant des informations sur les positions des personnes ». A condition de respecter les principes de la protection des données personnelles, comme le rappelle cet organisme. Et c’est là où les difficultés commencent.
Aujourd’hui, le RGPD impose des conditions très strictes. Il prévoit le consentement de la personne concernée. Ce n’est toutefois pas la seule condition de licéité du traitement. Comme dans la loi de 2004, le règlement envisage aussi la réalisation d’un intérêt légitime dans le respect des droits fondamentaux de la personne concernée. Il appartiendra aux juges et à la Cnil de se prononcer sur l’existence de l’intérêt légitime de Monsanto de cartographier les opinions. Rappelons que les données sensibles, dont les opinions politiques, syndicales ou philosophiques, sont soumises à un régime très contraignant.
Les données doivent par ailleurs être exactes, et à jour. Elles doivent être traitées de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités prévues mais aussi de manière licite, loyale et transparente à l’égard de la personne concernée. Elles doivent, en outre, être collectées pour des finalités déterminées, explicites et légitimes, sans détournement de finalités. Le règlement impose également l’information des personnes concernées sur le traitement, lorsque les données n’ont pas été collectées auprès de ces dernières.
Beaucoup d’obligations de loyauté et de transparence pour une activité de l’ombre. Pas de doutes que les agences de communication, lobbyistes et autres directions des affaires publiques vont devoir réviser leurs méthodes.
Il y a 2 mois...
Interview / François Pellegrini
Résister à la gouvernance algorithmique
Les traitements algorithmiques s’imposent peu à peu dans les relations sociales et économiques. Le RGPD a d’ailleurs pris acte de la numérisation de la société, aussi dans l’intérêt des personnes. Du fait de leur efficacité et de leur rapidité, ces traitements établissent progressivement des normes généralisées, proches de l’autorité de la norme légale. Des règles juridiques existent pour empêcher que cette gouvernance algorithmique de la société n’advienne. A condition de les mettre en œuvre. Mais remettre en cause une décision automatisée nécessite beaucoup plus d’énergie que de s’y conformer.
Sylvie Rozenfeld : Docteur en informatique, ingénieur diplômé en informatique de l’ENSERB, vous effectuez des recherches dans les domaines du calcul parallèle haute performance et du droit des technologies numériques. Vous êtes professeur à l’université de Bordeaux depuis septembre 2011 et coauteur avec Sébastien Canevet de l’ouvrage de référence “Droit des logiciels – logiciels privatifs et logiciels libres”. Depuis 2014, vous êtes membre de la Cnil, nommé en tant que personnalité qualifiée. Vous vous intéressez aux droits de la personne par rapport aux traitements algorithmiques. Les algorithmes envahissent les relations sociales et économiques. Avons-nous besoin d’un droit de l’algorithme ?
François Pellegrini : Il faudrait plutôt parler de traitement algorithmique. Le droit distingue déjà trois objets juridiques parfaitement définis. En premier lieu, nous avons les algorithmes, qui sont des méthodes mathématiques qui relèvent de l’idée ; ils sont donc de libre parcours. Puis, à partir de ces idées, on crée des logiciels, qui constituent des œuvres de l’esprit et sont couverts par le droit d’auteur adapté. Enfin, lorsqu’on met en œuvre des logiciels pour une certaine finalité, on crée un traitement automatisé de données. Ce troisième objet juridique, associé à la notion de responsable de traitement, figure tant dans la loi Godfrain relative à la fraude informatique que dans la loi Informatique et libertés. Le droit est donc parfaitement capable de couvrir les problèmes liés aux traitements algorithmiques. Nous n’avons donc pas besoin de créer un droit de l’algorithme comme certains le réclament.
L’article 2 de la loi Informatique et libertés avait, dès 1978, prévu qu’aucune décision administrative ou privée ne pouvait avoir pour seul fondement un traitement automatisé. L’article 22 du RGPD prévoit, quant à lui, que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Bien que la loi française ne reprenne pas la formulation du RGPD mais ses exceptions, que pensez-vous de ce renversement de logique : passer de l’interdiction au droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. Quelles conséquences cela entraîne ?
Ce mouvement a été amorcé dès 2004, avec l’autorisation par la loi de traitements intégralement automatisés dans le cadre de relations pré-contractuelles ou contractuelles, ou ceux satisfaisant les demandes des personnes. Le RGPD ne change pas fondamentalement cette vision car, dans tous les cas, il reste interdit qu’une personne se retrouve seule face à la machine sans pouvoir en contester le résultat. Prenons l’exemple d’une personne dont la voiture rend l’âme un samedi soir. Elle aimerait bien savoir tout de suite si elle peut obtenir un crédit pour aller vite acheter une nouvelle voiture le dimanche matin, entre particuliers. Des organismes de crédit peuvent proposer des services en ligne d’octroi de crédit, basés sur des traitements algorithmiques, permettant d’obtenir immédiatement une réponse, après avoir entré des informations relatives à ses revenus, à ses crédits en cours et le montant du crédit demandé. Personne ne va s’en plaindre, bien qu’il s’agisse d’un traitement totalement automatisé. Une partie des actes de la société est traitée d’une manière de plus en plus automatisée, sans que cela porte préjudice aux personnes. Un problème peut cependant advenir dans deux situations : la personne qui n’obtient pas un crédit et s’estime lésée peut demander la réévaluation du dossier par un banquier humain, ou bien la personne qui obtient un crédit qu’elle ne peut pas rembourser peut attaquer le système, l’accusant de lui avoir octroyé un crédit malgré sa situation, comme dans le cas des subprimes. Dans l’un de ses avis, le G29 (aujourd’hui le Comité européen de protection des données) rappelle d’ailleurs que le RGPD ne déroge pas à la logique initiale de la loi Informatique et libertés. Le règlement acte tout autant le fait que, dans beaucoup de cas, être soumis à un traitement automatisé n’est pas dérangeant pour les personnes, tant qu’il ne fait pas grief. La question sous-jacente reste celle des modalités de réévaluation par un humain, en cas de contestation. L’humain utilisera les mêmes données, mais s’appuiera en plus sur des signaux infra-verbaux, sur son ressenti, afin de pouvoir, éventuellement, passer outre. Le vrai enjeu réside dans le fait que l…
Tout les mois, toute l'actualité du numérique... Et tellement plus !
Découvrez nos offres papier & digital
- + Le carnet de référence MOLESKINE série limitée « EXPERTISES »
pour vos prises de note (format 13 x 21 cm) - + La newsletter de legalis.net, la référence de l’actualité
du droit des nouvelles technologies - + Les alertes d’actualité de legalis.net,
avec des présentations de décisions de justice en exclusivité - + des remises allant jusqu’à 60% selon la formule
EXPERTISES intégral
Soit plus de 45% d’économie* ! (hors France Métropolitaine & étranger : 305 € TTC)
EXPERTISES digital
soit plus de 60% d’économie* ! (France Métropolitaine & étranger : idem)