Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture

Comment YouTube et Uploaded ont encore échappé à leurs responsabilités dans deux affaires de piratage

L’article 17 controversé de la directive « Droit d’auteur et les droits voisins dans le marché unique numérique » n’a pu être appliqué ni à YouTube (Google) ni à Uploaded (Cyando). Et pour cause : l’Allemagne, où deux plaintes pour piratage avaient été déposées, n’a pas encore transposé le texte européen.

Par Rémy Fekete, avocat associé, et Eddy Attouche, juriste, Jones Day

On retient de Beaumarchais son Figaro. On sait moins qu’il fut l’inlassable défenseur des droits d’auteurs : « On dit au foyer des Théâtres qu’il n’est pas noble aux Auteurs de plaider pour le vil intérêt, eux qui se piquent de prétendre à la gloire. On a raison. La gloire est attrayante. Mais on oublie que pour en jouir seulement une année, la nature nous condamne à diner trois cent soixante-cinq fois ».

Deux affaires jointes sous l’ancien régime
Depuis près de 230 ans maintenant, sous l’impulsion de Pierre-Augustin Caron – alias Beaumarchais (1) – les droits d’auteurs sont reconnus comme un gagne-pain après la Révolution française. C’est désormais le combat des défenseurs des droits d’auteurs et des droits voisins qui s’opposent aux plateformes Internet. En cause, la difficulté d’identifier le responsable de la communication au public lorsqu’un internaute indélicat se permet de mettre en ligne sans autorisation une œuvre protégée. « Responsable mais pas coupable ». On entend cette défense depuis les origines de l’Internet, chaque fois qu’une plateforme numérique (2) est assignée en raison de comportements illicites qui s’y tiennent. Mais l’évolution en cours du droit européen pourrait rendre la vie moins facile aux géants du Net. Dans la nouvelle affaire qui occupe la Cour de justice de l’Union européenne (CJUE), Frank Peterson, un producteur de musique, poursuit YouTube et sa maison-mère Google, devant les juridictions allemandes, au sujet de la mise en ligne – par des utilisateurs et sans son autorisation, sur la plateforme YouTube – de plusieurs musiques sur lesquelles il allègue détenir des droits (3). Elsevier, un groupe d’édition néerlandais, poursuit également devant les juridictions allemandes Cyando, l’exploitant de la plateforme numérique Uploaded, du fait de la mise en ligne par des utilisateurs, sans son autorisation, de différents ouvrages dont l’éditeur détient les droits exclusifs (4). La Cour fédérale de justice en Allemagne a soumis plusieurs questions préjudicielles à la CJUE sur l’interprétation du droit de l’Union européenne applicable en la matière. La question principale consiste à savoir si les exploitants de plateformes en ligne, telles que YouTube et Uploaded, sont responsables de la mise en ligne illégale d’œuvres protégées, effectuée par les utilisateurs de ces plateformes. La CJUE n’a toujours pas rendu son arrêt dans les deux affaires jointes, mais les conclusions de l’avocat général, Henrik Saugmandsgaard Øe, ont été publiées en juillet (5). Celui-ci précise le cadre juridique applicable à ces deux litiges : il s’agit de deux directives européennes, respectivement « Ecommerce » de 2000 sur le commerce électronique et « DADVSI » de 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information. La directive « E-commerce » a été modifiée par la directive de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique (« DADVMUN »), qui a mis en place, pour les exploitants de plateformes en ligne, un nouveau régime de responsabilité spécifique pour les œuvres illégalement mises en ligne par les utilisateurs de ces plateformes numériques. Cependant, cette nouvelle directive « DADVMUN » ne s’applique pas aux présents litiges étant donné qu’elle n’a toujours pas été transposée en droit allemand. Elle doit l’être dans chaque droit national des Etats membres au plus tard le 7 juin 2021. Pour l’heure, ces deux affaires « allemandes » ne peuvent pas encore s’appuyer sur la directive «DADVMUN» (6). Les conclusions de l’avocat général, qui sont souvent suivies par les juges de la CJUE, ont porté sur la responsabilité directe et la responsabilité indirecte de YouTube et de Uploaded, ainsi que sur la demande d’injonction judiciaire à l’égard de ces deux exploitants de plateformes numérique.

Responsabilité directe
• La responsabilité directe
des exploitants de plateformes en ligne est conditionnée par la réalisation d’actes de communication au public. La juridiction de renvoi demande si les exploitants de plateformes en ligne réalisent un acte de « communication au public », au sens de la directive « DADVSI » (7), lorsqu’un utilisateur de leurs plateformes y met en ligne une œuvre protégée. Pour répondre à cette question, l’avocat général opère une distinction fondamentale entre une simple fourniture d’installations, et la réalisation d’actes de communication au public (8). En réalité, selon lui, les exploitants de plateformes en ligne telles que YouTube et Uploaded jouent simplement un rôle d’intermédiaire par le biais de la fourniture d’installations aux utilisateurs de leurs plateformes. Ces exploitants ne décident pas, de leur propre chef, de communiquer des œuvres à un public. Ils suivent les instructions données par les utilisateurs de leurs services qui, eux, décident de transmettre des contenus déterminés et initient activement leur communication (9). Par conséquent, seuls les utilisateurs qui mettent en ligne des œuvres protégées réalisent un acte de communication au public proprement dite de ces œuvres. La responsabilité directe ou primaire susceptible de résulter de cette communication est alors supportée uniquement par ces utilisateurs. Il en résulte que YouTube et Uploaded ne sont, en principe, pas directement responsables de la mise en ligne illicite d’œuvres protégées, effectuée par les utilisateurs de leurs plateformes.

Responsabilité indirecte
• La responsabilité indirecte
des exploitants de plateformes en ligne est conditionnée par la connaissance du caractère illicite des informations stockées. Malgré l’absence de leur responsabilité directe, YouTube et Uploaded peuvent être indirectement responsables dans la mesure où ils « facilitent la réalisation, par des tiers, d’actes illicites de communication au public » (10). Cependant, l’article 3, paragraphe 1, de la directive «DADVSI » ne régit pas cette question. L’avocat général indique à cet égard que c’est l’article 14, paragraphe 1, de la directive « E-commerce » qui a vocation à s’appliquer. Conformément à cet article, un exploitant d’une plateforme en ligne telle que YouTube ou Uploaded ne peut être indirectement tenu responsable pour des informations qu’il stocke à la demande de ses utilisateurs, à moins que cet exploitant, après avoir pris connaissance du caractère illicite de ces informations, ne les ait pas promptement retirées ou rendus inaccessibles. Autrement dit, l’absence de connaissance du caractère illicite des informations constitue une cause d’exonération de la responsabilité indirecte des exploitants de plateformes en ligne. En l’occurrence, Henrik Saugmandsgaard Øe considère que YouTube et Uploaded peuvent bénéficier, en ce qui concerne leur responsabilité indirecte ou secondaire, de l’exonération prévue à l’article 14, paragraphe 1, de la directive « E-commerce », étant donné qu’ils ne jouent pas un « rôle actif » de nature à leur conférer une connaissance du caractère illicite des informations en question (11). L’avocat général précise néanmoins que l’exonération prévue est, en toute hypothèse, limitée à la responsabilité susceptible de résulter des informations stockées, et ne s’étend pas aux autres aspects de l’activité de l’exploitant en question (12).
• La demande d’injonction judiciaire à l’égard des exploitants de plateformes en ligne : une éventuelle possibilité indépendante de la responsabilité. Enfin, l’avocat général propose à la CJUE de juger que, indépendamment de la question de la responsabilité, les titulaires de droits peuvent obtenir, en vertu du droit de l’Union européenne, des injonctions judiciaires à l’encontre des exploitants de plateformes en ligne, susceptibles de leur imposer des obligations (13). En effet, l’article 8, paragraphe 3, de la directive « DADVSI » oblige les États membres à veiller à ce que les titulaires de droits puissent demander qu’une ordonnance sur requête soit rendue à l’encontre des intermédiaires dont les services sont utilisés par un tiers pour porter atteinte à un droit d’auteur ou à un droit voisin. En ce sens, les titulaires de droits doivent pouvoir demander de telles injonctions dès lors qu’il est établi que des utilisateurs portent atteinte à leurs droits, via les services de YouTube et Uploaded, sans devoir attendre qu’il y ait eu récidive et sans avoir à démontrer un comportement fautif de l’intermédiaire (14). Henrik Saugmandsgaard Øe indique toutefois que les mesures prises à l’encontre de YouTube et Uploaded dans le cadre d’une injonction doivent être proportionnées. A ce titre, ces mesures doivent assurer un juste équilibre entre les différents droits et intérêts en jeu et ne doivent pas créer d’obstacles aux utilisations licites du service de ces exploitants.
Le délai de transposition de la directive « DADVMUN » expire le 7 juin 2021. Une fois applicable, cette nouvelle directive devrait durablement changer le régime de responsabilité des exploitants de plateformes en ligne telles que YouTube et Uploaded, notamment en ce qui s’agit des œuvres illégalement mises en ligne par les utilisateurs. Un fournisseur de services de partage de contenus en ligne sera considéré comme responsable d’un acte de communication au public lorsqu’il permettra au public l’accès à des œuvres protégées par le droit d’auteur, mises en ligne par ses utilisateurs (15). Un tel fournisseur devra lui-même obtenir une autorisation des titulaires de droits, en concluant un accord de licence, par exemple, pour les œuvres mises en ligne par ses utilisateurs (16). Ces nouvelles responsabilités prévues par la directive « DADVMUN » sont inscrites dans le fameux article 17 plus que jamais controversé, comme l’illustre la lettre d’organisations de la société civile adressée le 14 septembre (17) à la Commission européenne qui a esquissé cet été ses lignes directrices sur l’application de cet article 17 (18).
Sous le régime de la future directive, il est probable que l’avocat général de la CJUE aurait conclu différemment en tenant YouTube et Uploaded responsables des actes illicites de communication au public réalisés par l’intermédiaire de leurs plateformes, à défaut d’obtenir une autorisation des titulaires de droits. Cette fois ci sans plus trouver refuge dans l’exonération de responsabilité prévue par la directive « E-commerce ».

Fin des privilèges, fin des impunités
La Révolution française donna raison à Pierre-Augustin Caron de Beaumarchais en mettant un terme au privilège des acteurs de la Comédie-Française qui pouvaient librement jouer les pièces en ne reversant que des rémunérations minimes aux auteurs. C’est à la fiction du « tout gratuit » que la directive « DADVMUN » vient mettre un terme, en appelant justement à la responsabilisation des citoyens et en sonnant la fin de l’impunité des plateformes qui doivent désormais se doter de mesures techniques afin d’identifier les contenus protégés mis en ligne. @

Taxation des GAFAM : l’annulation du redressement fiscal d’Apple illustre les velléités de l’Europe

Si la Commission européenne fait appel de l’arrêt du Tribunal de l’UE qui a annulé le 15 juillet sa décision condamnant Apple à rembourser l’Irlande de 13 milliards d’euros d’avantages fiscaux, le verdict final interviendra en 2021. Sinon, l’affaire sera close. Retour sur un jugement qui fera date.

(Au moment de la publication de cet article dans le n°241 de Edition Multimédi@, la Commission européenne annonçait qu’elle faisait appel du jugement « Apple-Irlande »)

Par Fabrice Lorvo (photo), avocat associé, FTPA

La révolution numérique, en dématérialisant l’achalandage, a entraîné, brutalement, une redistribution du partage de la valeur en faveur de certains distributeurs à savoir les GAFAM (1) et en défaveur des producteurs (de produits et de services). Cette captation par les géants dominants d’Internet se fait aussi au détriment des Etats, notamment européens, car si ces Big Tech affichent une prospérité démesurée, leurs contributions par le biais de l’impôt demeurent souvent symboliques.

Le « LuxLeaks » révélé en 2014
A la suite d’articles de presse indiquant, sur les révélations « LuxLeaks » du consortium international de journalistes d’investigation ICIJ (2), que des grandes entreprises – dont Apple et Amazon (3) – avaient bénéficié d’importantes réductions d’impôts, accordées par des autorités fiscales nationales, au moyen de « décisions anticipatives en matière fiscale » ou tax rulings (4), la Commission européenne avait ouvert le 11 juin 2014 une enquête pour vérifier la conformité de ces pratiques au regard des règles de l’Union européenne (UE) en matière d’aides d’Etat. Elle en a finalement dénoncé le mécanisme. L’enquête a notamment visé deux filiales (à 100 %) de droit irlandais du groupe Apple : Apple Sales International (ASI) et Apple Operations Europe (AOE). ASI est chargée d’acheter des produits Apple et de les vendre notamment en Europe. AOE, elle, fabrique certaines gammes d’ordinateurs pour le groupe Apple.
Ces deux filiales d’Apple déclaraient, chacune, n’avoir qu’une succursale en Irlande et leur siège en dehors de l’Irlande. En conséquence, du fait de répartitions internes, seule une petite fraction des bénéfices d’ASI et d’AOE étaient affectés à leurs succursales irlandaises et soumis à l’impôt en Irlande. La plupart des bénéfices étaient affectés en interne à un « siège » des deux filiales situé en dehors de l’Irlande où ils échappaient à l’impôt – et sans qu’aucun pays ne soit mentionné. Les deux « rulings » fiscaux émis par l’Irlande, le premier de 1991 à 2007 et le second de 2007 à 2014, avalisaient ces répartitions internes. En 2011, ASI a fait état lors d’auditions devant le Sénat américain d’un bénéfice de 16 milliards d’euros mais du fait du tax ruling, seuls 50 millions d’euros ont été imposés en Irlande. Résultat : 15,95 milliards d’euros de bénéfice ont éludé l’impôt (5). L’enquête de la Commission européenne a conclu que les rulings fiscaux irlandais avalisaient une répartition interne artificielle des bénéfices au sein d’ASI et d’AOE, que rien ne justifiait sur le plan factuel ou économique. Cet avantage présentait un caractère sélectif, puisqu’il entraînait une réduction de la charge de l’impôt des deux filiales d’Apple en Irlande par rapport aux sociétés non intégrées dont le bénéfice imposable reflétait les prix négociés sur le marché dans des conditions de pleine concurrence. La Commission européenne a justifié son analyse par trois arguments :
• A titre principal, la Commission européenne a reproché le principe d’attribution des bénéfices dérivés des licences de PI qu’elles détenaient aux sièges (hors d‘Irlande) d’ASI et d’AOE et non à ses succursales irlandaises. Selon elle, cette attribution était fictive dès lors que ces sièges n’étaient situés dans aucun pays, n’employaient aucun salarié et ne possédaient pas de locaux. Leurs activités s’en tenaient à des décisions limitées prises par ses directeurs – dont un grand nombre travaillaient simultanément à temps plein comme cadres dirigeants pour Apple Inc. – concernant la distribution des dividendes, les arrangements administratifs et la gestion de trésorerie.

Gestion fantôme des licences PI
Plus particulièrement s’agissant des fonctions afférentes aux licences de PI, la Commission européenne a soutenu que de telles fonctions n’avaient pas pu être exercées uniquement par le biais des conseils d’administration d’ASI et d’AOE, en l’absence de personnel. De plus, il n’a été trouvé dans les procès-verbaux des réunions des conseils d’administration aucune référence à des discussions et à des décisions à cet égard. Dans la mesure où les sièges des deux filiales de droit irlandais n’avaient pas pu contrôler ni gérer les licences de PI du groupe Apple, ces sièges n’auraient pas dû se voir attribuer, dans un contexte de pleine concurrence, les bénéfices tirés de l’utilisation de ces licences. Seule les branches irlandaises d’ASI et d’AOE étaient en mesure d’exercer effectivement des fonctions essentielles à l’activité commerciale en rapport avec la PI du groupe Apple, et avaient la capacité opérationnelle d’exercer et de gérer l’activité de distribution, et ainsi la capacité de générer des revenus commerciaux. En conséquence, les bénéfices de vente d’ASI et d’AOE auraient dû être attribués aux succursales irlandaises d’ASI et d’AOE, et donc imposés en Irlande.

La fiscalité irlandaise en question
• A titre subsidiaire, la Commission européenne a reproché les méthodes d’attribution aux sièges (hors d‘Irlande) d’ASI et d’AOE des bénéfices dérivés des licences de PI qu’elles détenaient. En effet, même si les autorités fiscales irlandaises avaient eu raison d’accepter l’hypothèse de l’attribution hors d’Irlande des licences de PI, les méthodes d’attribution ayant permis de déterminer le bénéfice annuel d’ASI et d’AOE imposable en Irlande étaient fondées sur des choix méthodologiques inadéquats qui ne permettait pas une approximation fiable d’un résultat fondé sur le marché dans des conditions de pleine concurrence.
• A titre alternatif, elle a considéré que les rulings fiscaux contestés avaient été adoptés par les autorités fiscales irlandaises de façon discrétionnaire, en l’absence de critères objectifs liés au système fiscal irlandais, et que, de ce fait, ils procuraient un avantage sélectif à ASI et à AOE.
En conséquence, la Commission européenne a jugé que les rulings fiscaux irlandais constituaient donc une aide d’Etat incompatible avec le marché intérieur. Elle a exigé que l’Irlande récupère auprès d’Apple les impôts impayés pendant la période considérée. L’Irlande ainsi qu’ASI et AOE ont contesté cette décision.
Le Tribunal de l’Union européenne (TUE) en date du 15 juillet 2020, dans les deux affaires concernées (6) (*) (**), a annulé la décision contestée car il a jugé que la Commission européenne n’avait pas rapporté la preuve de l’existence d’un avantage économique sélectif et, consécutivement, d’une aide d’Etat en faveur d’ASI et d’AOE. Sur l’argument à titre principal, le TUE a considéré que la Commission européenne n’est pas parvenue à démontrer, qu’eu égard, d’une part, aux activités et aux fonctions effectivement exercées par les succursales irlandaises d’ASI et d’AOE et, d’autre part, aux décisions stratégiques prises et mises en œuvre en dehors de ces succursales, lesdites succursales irlandaises auraient dû se voir attribuer les licences de PI du groupe Apple, aux fins de la détermination des bénéfices annuels imposables d’ASI et d’AOE en Irlande. Le TUE a jugé que la Commission européenne n’a pas rapporté la preuve qu’une telle attribution découlait des activités réellement effectuées par lesdites succursales irlandaises. Elle n’a pas cherché à établir que les organes de gestion des succursales irlandaises d’ASI et d’AOE avaient effectivement exercé la gestion quotidienne active de l’ensemble des fonctions et des risques afférents à la PI du groupe Apple. A l’inverse, selon le TUE, les activités des succursales irlandaises sont des activités auxiliaires et d’exécution de politiques et de stratégies conçues et adoptées en dehors de ces succursales, notamment en ce qui concerne la recherche, le développement et la commercialisation des produits de la marque Apple. De plus, l’Irlande ainsi qu’ASI et AOE ont prouvé que lesdites activités n’ont inclus ni la gestion ni la prise de décisions stratégiques concernant le développement et la commercialisation de la PI. A l’inverse, il apparaît que toutes les décisions stratégiques, particulièrement en ce qui concerne la conception et le développement des produits, ont été prises suivant une stratégie commerciale globale déterminée à Cupertino où se trouve le siège d’Apple en Californie et mises en œuvre par les deux sociétés en question, par leurs organes de direction, en tout état de cause, en dehors des succursales irlandaises. En outre, le TUE considère que la Commission européenne n’est pas parvenue à démontrer, au titre de son raisonnement subsidiaire, des erreurs méthodologiques dans les rulings qui auraient abouties à une diminution des bénéfices imposables d’ASI et d’AOE en Irlande. En effet, bien que le TUE déplore le caractère lacunaire et parfois incohérent des rulings fiscaux contestés, les défaillances identifiées par la Commission européenne, à elles seules, ne suffisent pas à prouver l’existence d’un avantage (7). Par ailleurs, le TUE considère qu’elle n’a pas prouvé, au titre de son raisonnement alternatif, que les rulings fiscaux contestés étaient la conséquence du pouvoir discrétionnaire exercé par les autorités fiscales irlandaises.
Le TUE semble avoir rappelé à la Commission européenne qu’on ne fait pas de droit fiscal avec du droit de la concurrence et que ces questions nécessitent un accord au niveau des Etats européens mais aussi du reste du monde…
Parallèlement, faute d’accord international, l’adoption « au cours du premier semestre 2021 » d’une taxe européenne sur les entreprises du numérique a été annoncée à l’occasion d’une réunion le 11 septembre 2020 des ministres des Finances de l’UE (8).

Victime collatérale : le consommateur
Il est cependant plus que probable que ce succès espéré aura pour victime collatérale le consommateur. En effet, certains pays européens (France, Italie, Royaume Uni) ou pas (Chili, Mexique, Arabie saoudite, Turquie) ont déjà soumis les GAFAM à des taxes nationales. Dans un communiqué, Apple a fait savoir aux développeurs français que la taxe sur le numérique de 3% du chiffre d’affaires votée en 2019 serait intégrée dans le calcul de leurs revenus générés dans l’App Store (9). De même, le fabricant des iPhone et des iPad reportera sur le prix la taxe de 3 % votée en Italie et celle de 2 % adoptée au Royaume-Uni, ainsi que le prélèvement de 7,5 % mis en place par la Turquie. @

* Fabrice Lorvo est l’auteur du livre
« Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.

Open data des décisions judiciaires et administratives : des avancées mais encore des zones floues

Le 30 juin a été publié au J.O. le décret de mise à disposition du public des décisions judiciaires et administratives. Soit près de quatre ans après la loi « pour une République numérique » annonçant l’open data de ces décisions. Mais il faudra des arrêtés et des circulaires pour y voir plus clair.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

La loi « pour une République numérique » du 16 octobre 2016, en annonçant l’open data des décisions de justice (1), marquait une étape décisive dans le processus de l’accès au droit pour tous. Mais il aura fallu attendre la loi « de programmation 2018-2022 et de réforme pour la justice » du 23 mars 2019 pour rouvrir le dossier de l’open data des décisions judiciaires (2). Et encore une année de plus pour que le décret pour « la mise à la disposition du public des décisions des juridictions judiciaires et administratives » du 29 juin 2020 soit publié.

Occulter les données ou pas, c’est selon
Ce décret de mise à la disposition du public, sur Internet, des décisions judiciaires et administratives apporte quelques précisions complémentaires. Pour autant, dans sa formule « a minima », le dispositif prête à beaucoup d’interrogations et laisse de grandes zones d’ombres. En attendant les arrêtés et circulaires à suivre, un point d’étape s’impose. S’agissant tout d’abord de la responsabilité de la collecte et de la diffusion des décisions de justice sous format électronique, celle-ci est confiée respectivement à la Cour de cassation pour les décisions de l’ordre judiciaire, et au Conseil d’Etat pour les décisions de l’ordre administratif. C’est une bonne chose et cela est conforme au souhait exprimé par le Conseil national des barreaux (CNB) dans une déclaration signée avec la Cour de cassation en juin 2019 et avec le Conseil d’Etat en juin 2020. En effet, cette règle devrait mettre un terme à la délivrance « sauvage » des copies aux tiers qui a permis à certains de constituer un fonds documentaire, dans le cadre d’accords bilatéraux avec certains greffes.
Désormais, la délivrance des copies aux tiers ne pourra concerner que des décisions « précisément identifiées » (3). Pour les décisions de l’ordre judiciaire, le refus de délivrance ou le silence gardé pendant deux mois pourra donner lieu à un recours gracieux devant le président de la juridiction. Enfin, le greffier devra occulter les éléments permettant l’identification des personnes physiques de nature à porter atteinte à leur sécurité ou au respect de la vie privée des personnes ou celles de leur entourage, précision donnée que cette occultation sera automatique lorsqu’elle a été faite pour la mise à disposition du public. Le recours contre cette décision sera possible, par requête présentée par un avocat, devant le président de la juridiction auprès de laquelle le greffier exerce ses fonctions. Le président statuera par ordonnance, le demandeur et les personnes physiques, parties ou tiers, mentionnées dans la décision, si possible entendus ou appelés. En revanche, les questions relatives à l’exhaustivité et l’intégrité de la base de données demeurent entières alors que les résultats d’une recherche peuvent être différents selon la constitution de la base de données. Imaginons un instant que les décisions collectées soient toutes du Nord de la France sans tenir compte des jurisprudences d’autres régions.
S’agissant ensuite de l’occultation des données à caractère personnel, l’objectif consiste à trouver le juste équilibre entre le droit à l’information du public et le droit au respect de la vie privée des personnes concernées par les décisions de justice. La loi du 23 mars 2019 a prévu que les noms et prénoms des personnes physiques, parties ou tiers à l’affaire, seraient systématiquement anonymisés (4). Quant aux autres éléments identifiants, ils devront être occultés par le juge lorsque leur « divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage ». La décision d’occultation peut également porter sur tout élément de la décision dont la divulgation est susceptible de « porter atteinte aux intérêts fondamentaux de la Nation » (5).

Deux temps d’appréciation sont prévus
Pour la mise en œuvre de ce dispositif, le décret du 29 juin 2020 prévoit deux temps d’appréciation. Le premier temps se situe à la suite du prononcé du délibéré : le juge ou le président de la formation prend la décision d’occulter les informations indirectement identifiantes présentant l’un des deux risques précités (6). Le deuxième temps se situe après la publication en ligne de la décision : tout intéressé peut alors introduire, auprès d’un membre du Conseil d’Etat désigné par le vice-président du Conseil d’Etat (pour les décisions administratives) ou auprès d’un membre de la Cour de cassation désigné par le premier président (pour les décisions judiciaires), une demande d’occultation ou de levée d’occultation des éléments d’identification. Outre le fait qu’il en résulte une charge complémentaire pour les magistrats, ce mécanisme laisse au juge une marge très importante – trop ? – d’appréciation sur les informations dont la divulgation serait de nature à porter atteinte à la sécurité ou au respect de la vie privée des personnes citées dans la décision. Jusqu’à la publication sur Internet, les parties devraient pouvoir disposer d’une fenêtre de tir contrainte pour contester la décision d’occultation ou de non-occultation. Cependant, le décret ne précise rien à cet égard… Après la publication en ligne, le recours est le même pour tout intéressé, qu’il s’agisse d’une partie ou d’un tiers. La demande d’occultation ou de levée d’occultation des éléments d’identification est portée auprès du membre du Conseil d’Etat désigné par le vice-président du Conseil d’Etat ou auprès du membre de la Cour de cassation désigné par le premier président. Leur décision est elle-même susceptible de recours : pour les décisions de l’ordre administratif, il s’agit de « recours de plein contentieux » ; pour les décisions de l’ordre judiciaire d’un « recours devant le premier président de la Cour de cassation dans les deux mois suivant sa notification ».

Garanties et algorithmes : le CNB alerte
Malheureusement, le décret n’apporte aucune précision notamment au regard de mesures provisoires, par exemple la suspension de la publication dans l’attente que soit tranchée la question de l’occultation ou de la non-occultation. Or, nous savons que le temps de communication sur l’Internet n’est pas celui du temps judiciaire, posant là une simple question d’efficacité. Sera-t-il utile de requérir une occultation après que la décision aura été rendue publique et aura circulé sur les réseaux du Net ? Pour ces différentes raisons, le Conseil national des barreaux (CNB) a demandé des garanties en termes d’information des parties, de débat contradictoire et de droit de recours (7). Sur le premier point, le CNB demande que soient précisées les modalités d’information des parties quant à la décision prise concernant l’occultation, pour leur permettre d’initier, le cas échéant, un recours avant la mise en ligne de la décision ou avant la délivrance au tiers, afin de garantir réellement le respect du principe du contradictoire et de leur vie privée. Sur le deuxième point, il demande que les avocats puissent engager une discussion contradictoire sur l’occultation, dès leurs premières écritures et au plus tard, dans leur plaidoirie, pour permettre au juge de rendre une décision éclairée et au plus proche des enjeux du respect de la vie privée et de la sécurité des personnes. Enfin, troisième point, la notification aux parties de la décision d’occultation devrait être faite dans un temps raisonnable pour leur permettre d’initier, le cas échéant, un recours avant la mise en ligne de la décision.
Au-delà de ces garanties qu’il serait souhaitable d’apporter, le cadre juridique de l’open data des décisions judiciaires laisse encore de nombreuses questions sans réponse. L’encadrement du recours aux algorithmes n’est toujours pas d’actualité, ouvrant un large champ d’exploration aux acteurs privés qui s’y sont engouffrés. S’agissant de la justice et donc d’un service public « pas comme les autres », la régulation du marché des algorithmes est une priorité. Le CNB n’a de cesse de rappeler la nécessaire vigilance à avoir quant à l’utilisation qui sera faite des décisions de justice ainsi mises à disposition et la nécessité de garantir la transparence et l’éthique des algorithmes utilisés pour leur exploitation. Dans cet objectif, l’institution représentative des avocats formule une proposition de constitution ou de désignation d’une instance publique chargée de la régulation et du contrôle des algorithmes utilisés pour l’exploitation de la base de données des décisions de justice ainsi que de la réutilisation des informations qu’elle contient (8). Le CNB souhaite en être membre, aux côtés des plus hautes autorités de l’ordre judiciaire et de l’ordre administratif. Il préconise également que les appels d’offres à destination des acteurs privés incluent systématiquement le rappel de principes éthiques, à l’exemple de ceux proposés par le Conseil de l’Europe (9) via sa Commission européenne pour l’efficacité de la justice (CEPEJ), ou encore des sept principes posés par la Commission européenne pour une « IA de confiance » (10), mais aussi, pourquoi pas, de règles co-construites au sein de l’institution à créer ou à désigner. Les prérequis pour la conception des algorithmes pourraient s’inspirer des règles ethic by design ou legal by design.
La question de l’accès aux données intègres pour les avocats n’est pas non plus traitée. En effet, le décret du 29 juin 2020 est muet sur les autorisations d’accès au flux intègres. Les magistrats auront-ils accès aux décisions intègres – c’est-àdire non anonymisées et non occultées – ou auront-ils accès aux décisions anonymisées et occultées ? Dans le premier cas, l’accès différencié pour les magistrats et les avocats conduirait à une inégalité inacceptable. L’avocat, auxiliaire de justice (11), ne peut pas être assimilé au « public » visé par la loi du 29 mars 2019. A ce titre, l’institution représentative des avocats a tenu à rappeler, dans sa résolution du 14 décembre 2019, que « les avocats doivent, à l’instar des magistrats du siège comme du parquet, aussi auxiliaires de justice, avoir accès aux décisions intègres, sans anonymisation ni occultation des éléments indirectement identifiants, au nom de l’égalité des armes consacrée par l’article 6 de la Convention européenne des droits de l’homme ». La seule alternative acceptable serait que nous ayons, avocats et magistrats, accès à l’open data des décisions judiciaires, dans les mêmes conditions.

Groupe de travail « Réutilisation des données »
Le décret du 29 juin 2020 devrait être complété par d’autres textes (arrêtés, circulaires, …). La Chancellerie a annoncé la mise en place d’un groupe de travail dédié à la problématique de la réutilisation des données issues des décisions de justice. La première réunion sur ce thème, organisée par le ministère de la Justice, doit se tenir au cours cette rentrée. En espérant que le Conseil national des barreaux pourra apporter sa pierre à cet édifice qui modifie en profondeur la justice. @

* Christiane Féral-Schuhl, présidente du Conseil
national des barreaux (CNB), est ancien
bâtonnier du Barreau de Paris, et auteure de
« Cyberdroit », paru aux éditions Dalloz.

Affaire « Schrems 2 » : la pérennité des transferts en dehors de l’Union européenne remise en question

Depuis vendredi 16 juillet 2020, les transferts de données à caractère personnel vers les Etats-Unis sur le fondement du « Privacy Shield » sont invalides. Les entreprises souhaitant donc continuer à transférer des données vers les Etats-Unis doivent identifier un autre mécanisme de transfert.

Par Laura Ziegler & Sandra Tubert, avocates associées, BCTG Avocats

La Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur dans l’affaire dite « Schrems 2 » (1) concernant les mécanismes de transferts de données hors de l’Union Européenne (UE). Elle a ainsi annulé le Privacy Shield qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées, tout en considérant que les clauses contractuelles types demeuraient, quant à elles, valides.

Le « Privacy Shield » en question
Les transferts de données vers des pays tiers à l’UE ne peuvent en effet avoir lieu qu’à certaines conditions (2). Au titre de ces conditions figurent le fait que la Commission européenne ait constaté que le pays tiers assure un niveau de protection adéquat (3) ou, faute de décision d’adéquation, que les parties aient mis en place des garanties appropriées comme les « règles d’entreprise contraignantes » (4), ou les « clauses contractuelles types » (5). Le Privacy Shield, lui, reposait sur un système d’auto-certification en vertu duquel les entreprises américaines s’engageaient à respecter une série de principes (6) en matière de protection des données auprès du ministère du commerce américain (FTC). Grâce à ce mécanisme, la Commission européenne avait considéré, en juillet 2016, au moyen d’une décision d’adéquation (7), que les Etats-Unis offraient un niveau de protection adéquate (8), permettant ainsi les transferts de données entre une entreprise de l’UE et des entreprises américaines auto-certifiées. Déjà sujet à de vifs débats au moment de son adoption qui suivait de près l’annulation de son prédécesseur (9), le Privacy Shield avait pour objectif de maintenir au plus vite les accords commerciaux entre l’UE et les Etats-Unis tout en assurant un niveau de protection suffisant des données transférées aux Etats-Unis.
La période de répit pour les transferts de données vers les Etats-Unis aura toutefois été de courte durée puisque l’Autrichien Max Schrems a poursuivi la procédure qui avait conduit à l’invalidation du Safe Harbor dans la désormais célèbre affaire « Schrems 1 ». Ce sont des suites de cette procédure, dans le cadre d’un litige opposant la « Cnil » irlandaise (DPC) à Facebook Ireland Ltd et à Max Schrems au sujet d’une plainte concernant le transfert de ses données par Facebook Ireland à Facebook Inc. aux Etats-Unis que plusieurs questions préjudicielles ont été soumises à la CJUE. Dans l’affaire « Shrems 2 », la CJUE a ainsi été amenée à examiner la validité du Privacy Shield au regard des exigences découlant du RGPD, lues à la lumière des dispositions de la Charte des droits fondamentaux de l’UE garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (10). La CJUE devait déterminer si les programmes de renseignement et de surveillance mis en place aux Etats-Unis et les garanties prévues dans la réglementation américaine (11) – pouvant concerner des ressortissants européens – étaient mis en œuvre dans le respect des exigences de proportionnalité et de respect des droits des personnes.
Si la CJUE rappelle que les articles 7 (respect de la vie privée) et 8 (protection des données personnelles) de la Charte des droits fondamentaux de l’UE ne sont pas des « prérogatives absolues », elle estime toutefois que l’intervention des autorités publiques américaines constitue une atteinte à ces principes et que les limitations qui en découlent ne sont ni proportionnées, ni nécessaires et ne permettent pas l’exercice de droits effectifs et opposables dont doivent nécessairement bénéficier les personnes concernées.

Atteinte aux droits fondamentaux
La CJUE souligne que, contrairement au niveau de protection offert par l’UE, les programmes de surveillance américains aux fins du renseignement extérieur (12) ne contiennent aucune limitation ni n’offrent aucune garantie pour les personnes concernées de l’UE (non américaines), celles-ci ne pouvant par ailleurs pas opposer leurs droits aux autorités publiques américaines devant les tribunaux. Pour parvenir à cette conclusion, elle précise notamment que le mécanisme de médiation prévu par le Privacy Shield n’est ni indépendant, ni pourvu de force contraignante à l’égard des services de renseignement. La CJUE ajoute que les programmes de surveillance fondées sur les dispositions de la PPD 28 ne sont pas limités au strict nécessaire (contrevenant ainsi au principe de proportionnalité), dans la mesure où ils permettent de procéder à une collecte massive de données et ce sans aucune surveillance judiciaire. Forte de tous ces griefs, la CJUE a donc logiquement considéré que la décision d’adéquation du Privacy Shield était invalide. Les critiques formées à l’encontre des « clauses contractuelles types » étaient un peu différentes, puisque celles-ci peuvent être utilisées pour des transferts vers tout pays tiers à l’UE.

Maintien des « clauses contractuelles types »
La CJUE était, entre autres, interrogée sur le fait de savoir si leur nature contractuelle, ayant ainsi un effet relatif à l’égard des autorités publiques étrangères, n’était pas de nature à remettre en cause leur validité, dans la mesure où elles pourraient ainsi ne pas permettre aux personnes concernées d’empêcher l’accès à leurs données et/ou d’exercer leurs droits. Elle a estimé que le seul fait que les clauses contractuelles types ne soient pas contraignantes vis-à-vis des autorités publiques d’un pays tiers n’était pas de nature à emporter l’invalidation de celles-ci. La CJUE a toutefois rappelé en substance qu’il appartient au responsable de traitement et au destinataire des données de vérifier préalablement à tout transfert si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD. Le cas échéant, ils sont alors tenus, soit de prendre les mesures nécessaires pour compenser l’insuffisance de garanties du pays destinataire, soit – si le pays tiers destinataire des données dispose d’une réglementation contraire aux principes figurant dans les clauses contractuelles types – de s’interdire un tel transfert ou d’y mettre fin. Concernant la deuxième question sur le fait de savoir si les mécanismes figurant au sein même des clauses contractuelles types étaient de nature à assurer de manière effective la protection adéquate requise par l’article 45 du RGPD, la CJUE apporte une réponse positive sans détours : les différents engagements pris par les parties au titre des clauses contractuelles types (13) sont autant de garanties qui permettent de constituer des mécanismes d’effectivité suffisante.
Cette décision est pourtant bien plus complexe qu’il n’y paraît. Il serait, à notre sens, hâtif d’en déduire que la CJUE donne un blanc-seing à l’utilisation des clauses contractuelles types pour les transferts hors UE. Elle invite, tout au contraire, les responsables de traitement et leurs destinataires à se lancer dans une véritable analyse détaillée de la législation du pays tiers pour vérifier si les garanties qui sont fournies par les clauses contractuelles types peuvent réellement y être respectées en pratique. Dans le cas contraire, ils devront mettre en place, en plus des obligations figurant dans le corps même des clauses, des garanties supplémentaires afin de rendre réellement effectifs les droits des personnes concernées et l’existence d’un recours juridictionnel. La nature de ces garanties ou mesures supplémentaires interroge : le point 132 de la décision de la CJUE semble pointer vers le considérant 109 du RGPD, qui lui-même invite les parties prenantes aux clauses contractuelles types à les compléter par d’autres clauses fournissant des garanties supplémentaires. L’introduction de garanties supplémentaires par voie contractuelle ne se heurtera-telle pas, dans certains cas, à la même suprématie des lois impératives américaines ? Dans l’attente d’orientations plus détaillées, le Comité européen à la protection des données (CEPD), qui réunit les « Cnil » européennes, précise que ce pourrait être des mesures juridiques, techniques ou organisationnelles (14). Ces deux derniers types de mesures étant certainement les plus à même d’assurer de manière plus effective une certaine protection des données.
La décision rendue par la CJUE ne s’arrête pas en réalité à la seule invalidité du Privacy Shield, et ce sont les transferts vers les Etats-Unis dans leur ensemble – quel que soit le mécanisme de transfert utilisé – qui sont en réalité largement questionnés par cet arrêt. Comme le reconnaît le CEPD, les législations américaines qui sont pointées du doigt dans l’arrêt de la CJUE s’appliquent en réalité à tout transfert vers les Etats-Unis quel que soit l’outil de transfert utilisé. De fait, la CJUE estime en réalité que le droit américain ne permet pas d’assurer à lui seul un niveau de protection essentiellement équivalent à celui prévu dans l’UE.
Par ailleurs, au-delà des Etats-Unis, ce sont les transferts en dehors de l’UE vers des pays disposant de lois permettant des programmes de surveillance intrusifs qui sont questionnés. En pratique, il est difficile pour les entreprises d’anticiper pour l’heure toutes les conséquences de cette décision ou l’effectivité des garanties supplémentaires qu’elles pourraient mettre en place, lorsque celles mises en place par la Commission européenne et le département de commerce américain ont échouées.
Les réactions des autorités de contrôle et du CEPD sont fortement attendues dans les prochains mois pour proposer aux entreprises des solutions pragmatiques leur permettant de tirer toutes les conséquences de cet arrêt, tout en pérennisant si possible les transferts hors UE.

Comment pérenniser les transferts ?
Dans l’attente d’orientations plus détaillées, les entreprises sont ainsi invitées à identifier tous leurs transferts en dehors de l’UE (15), le mécanisme de transferts utilisé, et à conduire une analyse de la législation du pays en question pour déterminer si celle-ci permet d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE. Et ce, afin d’envisager au besoin les éventuelles garanties supplémentaires effectives qui pourraient être mises en place. Néanmoins, la pérennité et la sécurité juridique des transferts hors UE pourraient ne trouver un véritable salut que par une réponse politique adaptée et attendue. @