Menacé depuis 10 ans par l’affaire d’Etat « CDR-Tapie », Stéphane Richard fêtera ses 10 ans chez Orange en 2019

Le troisième mandat en cours du PDG d’Orange, l’ex-France Télécom toujours détenu par l’Etat à hauteur de 23 %, sera-t-il le dernier ? A une quinzaine de semaines de son procès au pénal pour « complicité de détournement de fonds publics » dans l’arbitrage « CDR-Tapie », Stéphane Richard maintient le cap contre vents et marées.

Selon nos informations, il n’est pas prévu de nommer un président par intérim à la tête d’Orange pendant la période où Stéphane Richard (photo) sera devant la Justice, à partir du 11 mars prochain. « Nous avons déjà deux directeurs généraux délégués, Gervais Pellissier et Ramon Fernandez, qui ont en externe les mêmes pouvoirs que le président », justifie-t-on rue Olivier de Serres, siège social du groupe dans le XVe arrondissement de Paris. Le premier, actuellement chargé de la transformation du groupe et président d’Orange Business Services, et le second, responsable de la performance et de l’Europe, sont donc prêts à prendre la relève le moment venu et le temps qu’il faudra. Dans l’état-major d’Orange, il y a aussi Fabienne Dulac, directrice générale adjointe et directrice exécutive d’Orange France. Dans un peu plus de trois mois maintenant, soit dans une quinzaine de semaines, l’actuel PDG d’Orange va comparaître – du 11 mars au 5 avril prochains – devant le tribunal correctionnel de Paris (1), avec Bernard Tapie et quatre autres accusés.

One-man-show le 12 décembre (assistant Djingo, Livebox virtuelle, 5G, …)
Cela fait 10 ans cette année que Stéphane Richard a une épée de Damoclès suspendue au-dessus de sa tête. Depuis que la Cour de justice de la République (CJR) a ouvert – le 4 août 2008 – une enquête sur Christine Lagarde, alors ministre de l’Economie, des Finances et de l’Industrie, pour « complicité de détournement de biens publics » dans l’affaire « Tapie », appelée aussi « CDR-Tapie » (2). Il est reproché à l’actuelle directrice générale du Fonds monétaire international (FMI) un arbitrage, jugé frauduleux, rendu par un tribunal privé le 11 juillet 2008 en faveur de l’homme d’affaire et ancien politicien Bernard Tapie. Celui-ci percevra ainsi de l’Etat français 403 millions d’euros (indemnités et intérêts compris) pour régler son litige – de quinze ans d’âge – avec le Crédit Lyonnais sur la vente d’Adidas. Montant indu et illégal, tranchera en substance la CJR. Stéphane Richard, Continuer la lecture

Déclin des ventes de tablettes iPad mais hausse des contenus et services digitaux : le paradoxe d’Apple ?

Apple a publié le 5 novembre, via le gendarme boursier américain (la SEC), le rapport financier de son année fiscale close le 29 septembre dernier. Edition Multimédi@ y analyse deux tendances opposées mais paradoxales : la baisse des ventes de l’iPad et la hausse de celles des contenus et services en ligne.

Lorsque, en janvier 2010, la marque à pomme a révélé son tout premier iPad, on allait voir ce qu’on allait voir ! La tablette fut présentée – par Steve Jobs à l’époque – comme « un appareil révolutionnaire », qui allait être multimédia, communiquant et tactile pour accéder à tous les contenus. Moins de trois ans après la sortie de son premier iPhone, Apple tenait enfin avec son iPad le « puissant ordinateur dans un livre » promis au monde entier par Steve Jobs en 1983. Mais, plus de huit ans après le début de la commercialisation du premier iPad (en avril 2010), force est de constater que le rêve d’Apple – de voir la tablette devenir le grand écran tactile (9,7 pouces/246,3 mm de diagonale) que tout le monde s’approprierait pour accéder au contenus et services en lignes – s’est aujourd’hui évanoui.

Loin du pic des ventes de tablettes en 2013
Au cours de l’exercice 2017/2018 clos fin septembre, la firme de Cupertino – aujourd’hui dirigée par Tim Cook (photo) – n’a vendu que 43,5 millions d’iPad pour 18,8 milliards de dollars. Ce qui représente, sur un an, une baisse de 0,5 % en volume et de 2,1 % en valeur. La chute est autrement plus douloureuse si l’on compare au pic historique des ventes d’iPad en unités, c’est-à-dire aux 71 millions d’iPad vendus en 2012/2013 pour un chiffre d’affaires record de 31,9 milliards de dollars : – 38,7 % en volume et – 39,9 % en valeur. Ce désamour mondial pour l’iPad n’est pas faute d’avoir eu des tablettes à la pomme plus performantes. Et la sixième génération actuelle, apparue en mars avec le nouvel iPad boosté au processeur hyperpuissant A10 Fusion, ne démérite pas. Hélas, le marché mondial de la tablette n’a pas su s’imposer face au marché de masse des smartphones. Selon Continuer la lecture

OCS (ex-Orange Cinéma Séries) fête ses 10 ans et renégocie avec le cinéma

En fait. C’est le 17 novembre 2008, il y a dix ans jour pour jour, que l’ex-France Télécom a lancé « Orange Cinéma Séries » dans la foulée d’une convention signée le 7 novembre avec le Conseil supérieur de l’audiovisuel (CSA). Aujourd’hui, OCS s’apprête à signer son troisième accord (1) avec le cinéma français.

En clair. Selon nos informations, OCS – la chaîne payante détenue à 66,67 % par Orange et à 33,33 % par Canal+ – est entrée en négociation avec les trois organisations du cinéma français que sont le Bureau de liaison des organisations du cinéma (Bloc), le Bureau de liaisons des industries du cinéma (Blic) et la société civile des Auteurs, Réalisateurs, Producteurs (L’ARP). Alors que l’accord quinquennal (2014-2018) actuellement en vigueur entre OCS et le 7e Art français arrive à échéance le 31 décembre prochain, l’entité Orange Content – laquelle regroupe depuis juillet 2017 non seulement OCS mais aussi la direction des contenus et les Orange Studio et Orange Prestations TV – a envoyé à ces trois organisations cinématographiques sa proposition de revalorisation pour parvenir à un nouvel accord censé prendre le relais le 1er janvier 2019.

Signer « rapidement » sur les films, puis cosigner la chronologie des médias
Aux Rencontres cinématographiques de Dijon (RCD), le 8 novembre dernier, David Kessler (photo), directeur d’Orange Content, a indiqué qu’il pensait « signer rapidement ». La proposition d’OCS est simple. Toujours selon nos informations, il s’agit de passer d’un montant annuel garanti de 38 millions d’euros en 2018 à 41 millions d’euros en 2021 de dépenses (achat, préachat, prime au succès, soutien en salles) en faveur de la filière cinématographique européenne et d’expression originale française, soit une augmentation de 1 million d’euros par an pendant trois ans.
Mais tout occupés à accoucher dans la douleur d’un accord avec le gros pourvoyeur de fonds du cinéma français qu’est Canal+, le trio Bloc-Blic- L’ARP n’ont repris langue avec Orange qu’aux Rencontres cinématographiques de Dijon (RCD) des 7-9 novembre. C’est là qu’un accord interprofessionnel avec Canal+ a été signé in extremis pour quatre ans (2019-2022) – alors que Continuer la lecture

Gouvernance : l’Internet est à la croisée des chemins

En fait. Du 12 au 14 novembre, se tiendra le 13e Forum sur la gouvernance de l’Internet (FGI), au siège de l’Unesco à Paris, organisé sous la tutelle de l’ONU. Cette année, le thème est « The Internet of Trust » (l’Internet de confiance). Mais ironie étymologique, « trust » veut aussi dire monopole…

En clair. Le spectre des GAFA va planner plus que jamais sur l’Internet Governance Forum (IGF), alias FGI. La France accueille cette année – au siège mondial de l’Unesco, à Paris – ce cénacle international, lequel se veut « multilatéral, multi-parties prenantes, démocratique et transparent ». C’est du moins ce que prévoit l’Agenda de Tunis établi en 2005 lors du Sommet mondial sur la société de l’information (SMSI). Basé au Palais des Nations de l’ONU à Genève (Suisse), l’IGF veut éviter que la gouvernance du Net n’échappe à la communauté mondiale constituée des gouvernements, organisations intergouvernementales, entreprises privées, équipes techniques et organisations de la société civile.
Or la confiance (trust) se le dispute au monopole (trust), tant les géants du Web et du Net constituent un oligopole planétaire de plus en plus puissant. Les GAFA américains ou les BATX chinois, selon l’endroit où se trouvent les internautes, sont en positions dominantes avec les abus avérés et potentiels que cela comporte. L’organisation américaine Icann qui gère les noms de domaine est, elle, toujours critiquée. Quant à Emmanuel Macron, puissance invitante, il ne manquera pas de relancer l’idée – déjà exprimée en mai – d’ »un nouveau cadre de régulation numérique international ».

Un nouveau protocole Internet (RINA) affranchi de celui de l’Icann (TCP/IP)
La France a bien lancé en juillet ses Etats généraux des nouvelles régulations numériques et ouvert en septembre un forum en ligne en vue de faire des propositions « en janvier 2019 » à la Commission européenne, mais la réponse doit être mondiale. Parmi les ateliers organisés par l’IGF, quatre traiteront de la régulation et de la gouvernance du Net (« Decentralized Internet Constitution? », « Internet governance will be irrelevant », « Regulations for a neutral and open Internet », « Community governance in an age of platform responsibility »).
Or il y a l’avènement de réseaux décentralisés peer-to-peer de la blockchain, l’apparition de projets de nouveaux « Internet » (comme l’européen NGI.eu) ou encore la mise en service de nouveaux protocoles tels que RINA lancé pour concurrencer le protocole TCP/IP historique. Le 10 octobre dernier, le Français Louis Pouzin (photo) – l’un des pères de l’Internet (livre de Chantal Lebrument et de Fabien Soyez, à paraître chez Economica) – a par exemple annoncé en Arménie le lancement du projet RINArmenia basé sur des racines ouvertes proposées à la vente par Open-Root. Cette société française propose une alternatif au « monopole autoproclamé » mondial de l’Icann américain. @ Continuer la lecture

Fake news et délit de fausse nouvelle : la loi doit s’arrêter là où commencent les libertés

Les « fake news » ne datent pas d’hier ni le délit de fausse nouvelle. Mais Internet et les réseaux sociaux ont relancé les débats sur la lutte contre la « désinformation ». Or légiférer sans censurer relève d’une mission impossible, si l’on ne veut pas déstabiliser les fondements de
la démocratie.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

En anglais, fake signifie « faux » (ou « truqué »). Il s’agit donc de « fausses informations » ou, plus précisément, d’informations délibérément fausses dont la diffusion vise à induire en erreur. Cette stratégie de désinformation du public a été largement évoquée dans les médias, notamment à l’occasion des dernières élections présidentielles aux Etats-Unis comme en France.

Mensonges, calomnies, tromperies, …
Il a en effet été beaucoup question de « faux comptes russes » de publicités sur Facebook dont l’objectif étaient de véhiculer des fausses informations sur des sujets sensibles au moment de la campagne présidentielle de Donald Trump, ou encore de fausses nouvelles véhiculées sur les réseaux sociaux durant la campagne présidentielle d’Emmanuel Macron. Le sujet
a également été évoqué lors de la campagne du Brexit ou encore du référendum en Catalogne. Actuellement, si aucun texte de droit commun
ne prévoit de réprimer la diffusion de fausses nouvelles, plusieurs textes spéciaux visent le délit de fausse nouvelle. L’article 27 de la loi du 29 juillet 1881 sur la liberté de la presse, les articles L.97, L.114 et L.117 du Code électoral, les article L.465-3-1 à L465- 3-3 du Code monétaire et financier ainsi que l’article L.443- 2 du Code de commerce sont autant de textes qui, bien qu’applicables dans des domaines spécifiques, renvoient tous à la notion de « fausse nouvelle » et présentent plusieurs traits communs : ils
ne posent aucune condition relative à l’auteur de la fausse nouvelle ; afin qu’une infraction puisse être qualifiée, ils exigent que la fausse nouvelle
ait fait l’objet d’une publication, une diffusion ou une reproduction ; enfin, ils emploient des termes tels que « informations mensongères », « bruits calomnieux », « nouvelles trompeuses ou destinées à tromper ».
Cependant, ces textes peuvent être difficiles à mettre en oeuvre, à l’instar
de l’article 27 précité de la loi de 1881 qui sanctionne d’une amende de 45.000 euros le fait d’avoir publié ou d’avoir relayé des informations créées et diffusées volontairement pour tromper le public. En effet, le texte prévoit que la « publication, la diffusion ou la reproduction » a été faite de
« mauvaise foi » et qu’elle est de nature à troubler la paix publique. Ces deux conditions constituent des obstacles importants pour contrer l’auteur de l’infraction qui ne manquera pas de faire valoir qu’il ne savait pas qu’il s’agissait d’une « fake news ». Quant aux hébergeurs, s’ils bénéficient d’un régime d’« irresponsabilité sauf », ils restent tenus de concourir à la lutte contre certaines infractions et, à ce titre, ils doivent mettre en place un dispositif de signalement. Mais cette obligation est circonscrite à des contenus qui relèvent de certaines catégories : l’apologie de crimes contre l’humanité, la provocation à la commission d’actes de terrorisme et de leur apologie, l’incitation à la haine raciale, à la haine à l’égard des personnes
en raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap, ainsi que la pornographie enfantine, l’incitation à la violence, notamment l’incitation aux violences faites aux femmes, des atteintes à la dignité humaine. Le dispositif existant n’apparait donc pas adapté aux
« fake news ».
Devant l’ampleur du phénomène, certains acteurs du Web ont pris des initiatives telles que la mise en place d’outils de vérification de contenus,
à l’exemple de l’option proposée par Facebook aux internautes pour leur permettre de qualifier certains contenus comme de « fausses informations», ou encore ont rejoint le consortium Trust Project (1) qui réunit de grands éditeurs de presse pour lutter ensemble contre les « fake news ».

Du texte « Goulet » de 2017 …
Parallèlement, le constat de l’insuffisance du dispositif légal a conduit à plusieurs propositions de lois, notamment celle qui a été soumise par sénatrice Nathalie Goulet le 22 mars 2017 visant à sanctionner les personnes qui mettent à la disposition du public des contenus sans vérifier les sources. Ce texte (2) présumait que « l’éditeur, le diffuseur, le reproducteur, le moteur de recherche ou le réseau social ayant maintenu
à la disposition du public des nouvelles fausses non accompagnées des réserves nécessaires pendant plus de trois jours à compter de la réception du signalement de leur caractère faux » étaient de mauvaise foi. Certes, ils pouvaient rétablir leur bonne foi en démontrant qu’ils avaient fait des
« démarches suffisantes et proportionnelles aux moyens » dont ils avaient disposé pour vérifier le contenu litigieux. Le texte a déclenché une série
de critiques, la principale consistant à dénoncer la difficulté à délimiter la frontière entre la « fake news » et la liberté d’expression, la liberté d’opinion ou encore la liberté de la presse. Il en résultait un risque non négligeable d’atteinte à un droit fondamental et constitutionnel. Aucune suite n’a été donnée à cette proposition jusqu’en janvier 2018, date à laquelle le président de la République – à l’occasion de ses voeux à la presse (3) – a annoncé sa volonté de réguler la publication de contenus sur Internet au cours des périodes électorales.

… au texte « Macron » de 2018
Une proposition de loi relative à la lutte contre les fausses informations
(4) ainsi qu’un projet de loi organique (5) prévoient de modifier le code électoral pour encadrer les périodes pré-électorale et électorale, définies comme courant à compter de la date de publication du décret convoquant les électeurs, jusqu’à la fin des opérations de vote, soit sur une durée maximum de cinq semaines avant le scrutin. L’objectif du législateur est
de contrôler les canaux de diffusion des fausses nouvelles, tout particulièrement les réseaux sociaux et les sites web de partage de vidéo ainsi que les médias sous influence d’un Etat étranger. A cet effet, le dispositif se décline en trois grandes propositions :
D’une part, le texte met à la charge des plateformes une obligation de transparence accrue sur tous les contenus sponsorisés. Elles devront rendre publiques l’identité des annonceurs de contenus ainsi que celle des personnes qui contrôlent les annonceurs. Elles devront également publier les montants consacrés à ces contenus, afin d’identifier les contenus sponsorisés à des montants élevés.
D’autre part, dans le cas où une fausse nouvelle serait publiée sur Internet, il est proposé d’introduire une nouvelle action en référé devant
le juge civil pour faire cesser la diffusion massive et artificielle d’une fausse nouvelle. Cette procédure, inspirée du référé « LCEN » (6) qui permet à toute personne de demander au juge de prescrire aux hébergeurs ou aux fournisseurs d’accès toutes mesures propres à prévenir un dommage ou
à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne. Cette action pourrait être engagée à la demande du ministère public ou de toute personne ayant intérêt à agir, uniquement pendant la période pré-électorale et électorale. Le tribunal
de grande instance de Paris serait exclusivement compétent, eu égard
au caractère national de l’écho donné à la diffusion massive de fausses informations. Le juge pourra notamment ordonner de supprimer le contenu mis en cause, de déréférencer le site, de fermer le compte utilisateur concerné ou encore de bloquer l’accès au site Internet.
Enfin, les pouvoirs du Conseil supérieur de l’audiovisuel (CSA) seront accrus afin de lutter contre toute tentative de déstabilisation par les services contrôlés ou influencés par des Etats étrangers. Si le régulateur considère qu’un Etat étranger propage une fausse nouvelle, il pourra
« suspendre » ou « révoquer » la convention d’un média sous influence de cet Etat. La commission de la Culture et la commission des Lois du Sénat
ont rejeté ces propositions le 26 juillet 2018, considérant que le dispositif continue de susciter les mêmes inquiétudes au regard de la censure, y ajoutant qu’en envisageant d’accroître la responsabilité des plateformes en cas de diffusion de fausses nouvelles, les principes posés dans la loi « LCEN » de 2004 sont susceptibles d’être remis en question. Il s’agit en effet d’une nouvelle exception, au même titre que pour les contenus terroristes ou pédopornographiques, au principe de limitation de responsabilité des intermédiaires techniques. Le projet de loi « Fausses nouvelles » devrait passer en commission mixte paritaire d’ici la fin de l’année.
On notera que, dans son avis du 19 avril 2018, le Conseil d’Etat partageait déjà l’opinion des sénateurs, en considérant que la mesure tendant au
« déréférencement d’un site diffusant ces fausses informations » apparaissait excessive, seuls devant être déréférencés les liens menant vers les pages diffusant ces informations.
Par ailleurs, le Conseil d’Etat proposait de prévoir que l’ordonnance du juge des référés soit rendue en premier et dernier ressort, afin de ne permettre que l’exercice d’un pourvoi en cassation dans des conditions de délai qui peuvent être précisées dans le texte réglementaire d’application de la future loi. Enfin, plus généralement, après avoir reconnu que« l’état actuel du droit, notamment en matière électorale, ne permet[tait] pas nécessairement de répondre à l’intégralité des risques induits par [les plateformes numériques] », a suggéré « d’harmoniser les différentes dispositions des propositions de loi pour ne retenir que la notion de “fausses informations” » et non celle de « fausses nouvelles », et a recommandé que « la lutte contre les fausses informations soit systématiquement circonscrite aux cas dans lesquels il est établi que
la diffusion de telles informations procède d’une intention délibérée de nuire ».

L’Europe contre « la désinformation »
Sur le plan européen, la Commission européenne a adopté des mesures fondées sur les conclusions et les recommandations présentées le 12 mars 2018 (8) par un groupe d’experts de haut niveau pour lutter contre la désinformation en ligne. Dans sa communication « Lutter contre la désinformation en ligne : une approche européenne » (9), datée du 24 avril 2018, elle préconise ainsi un code de bonnes pratiques et de nouvelles règles visant à accroître la transparence et l’équité des plateformes en ligne, notamment la mise en place d’un réseau indépendant de vérificateurs de faits ou encore une démarche d’autorégulation des acteurs. @

* Christiane Féral-Schuhl est ancien bâtonnier du Barreau
de Paris, et auteure de « Cyberdroit », dont la 7e édition
(2018-2019) est parue aux éditions Dalloz.

Données personnelles, RGPD et fichiers pénaux : l’ensemble de loi de 1978 est à réécrire

Quarante ans après sa version initiale, la loi « Informatique et Libertés » de 1978 va subir un lifting historique pour transposer le « Paquet européen » sur la protection des données qui entre en vigueur le 25 mai 2018. Mais il y a un risque d’insécurité juridique et un manque de lisibilité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le projet de loi sur la protection des données personnelles (1) vise à permettre l’application du « paquet européen de protection des données » composé, d’une part, du règlement européen pour la protection des données (RGPD) et d’autre part, de la directive applicable aux fichiers de la sphère pénale, tous deux applicables à compter de mai 2018. En faisant l’analyse du projet de loi, on relève des différences significatives de terminologie entre les deux textes.

Pouvoirs de la Cnil et marges des Etats
Ces différences se retrouvent dans plusieurs articles de la loi
« Informatique et Libertés » du 6 janvier 1978 pourraient donner lieu à des interprétations et des difficultés de compréhension de certaines notions, qui seront sources d’insécurité juridique. A cela s’ajoutent les critiques de la Commission nationale de l’informatique et des libertés (Cnil) et du Conseil d’Etat qui pointent le « manque de lisibilité » du texte (voir encadré page suivante). Le titre Ier du projet de loi, qui traite des dispositions communes au RGPD et à la directive européenne « Fichiers pénaux », définit les missions, les pouvoirs et les modalités de contrôle de la Cnil. On peut ainsi relever que l’Autorité de contrôle pourra « présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978 ».
Cette disposition interroge dans la mesure où seul le juge est le garant de l’interprétation du droit applicable aux données à caractère personnel.
La Cnil ne peut se voir ouvrir ce droit. Par ailleurs, à quel titre la Cnil interviendrait-elle dans le cadre d’une procédure civile ou d’une procédure pénale ? Les débats parlementaires auraient dû apporter des réponses sur ce point. Le projet de loi ouvre également la possibilité pour la Cnil de prononcer des sanctions dans un ordre de gradation plus pédagogique et mieux compréhensible par les responsables de traitement des données. Elle pourra, en outre, labelliser les objets connectés. Enfin, le titre Ier du projet de loi reprend le principe de l’interdiction de traitement de données dites
« sensibles » sauf en cas de traitement nécessaires à la recherche publique après autorisation de la Cnil et élargit le champ de ces données : interdiction de traiter des données génétiques, biométriques aux fins d’identifier une personne physique de manière unique, données concernant l’orientation sexuelle d’une personne.
S’agissant du titre II du projet de loi « RGPD », on relève que, en cas de divergences de législations entre Etats membres de l’Union européenne (UE) liées aux marges de manœuvre laissées à ces derniers sur plusieurs points, la loi nationale s’applique dès lors que la personne réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. Faisant application de ces marges de manœuvres, le projet de loi limite la portée des obligations et des droits des personnes concernées (droit à l’information droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition, etc.), lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et la détection d’infractions pénales, protection de l’indépendance de la justice et des procédures judiciaires, objectifs importants d’intérêt public général de l’UE ou d’un Etat membre,…). Le projet de loi prévoit également, afin de renforcer l’obligation de sécurité, que les responsables de traitement seront tenus par une obligation de chiffrement de bout en bout où seules les personnes autorisées à accéder aux données auront la clef de déchiffrement.

Traitements « pénaux » : conditions strictes
Et ce, alors que par ailleurs le Conseil constitutionnel a rendu le 30 mars 2018 une décision où les Sages jugent conforme à la Constitution française l’article 434-15-2 du code pénal qui punit de trois ans de prison et de 270.000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ». En sus, le projet de loi renforce la protection des données de santé afin qu’elles ne puissent être utilisées pour fixer les prix des assurances ou à des fins de choix thérapeutiques et médicaux et la sélection des risques.
Quant au titre III du projet de loi « RGPD », il concerne plus spécifiquement les dispositions portant transposition de la directive « Fichiers pénaux ». On retiendra dans ce cadre que l’ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale – prévues par cette directive européenne – sont regroupées aux articles 70-1 à 70-27 (nouveaux) de la loi « Informatique et Libertés » du 6 janvier 1978. Le projet de loi français prévoit que le traitement des données sensibles à des fins pénales n’est possible que s’il répond à des conditions strictement définies : la nécessité absolue d’un traitement de données, l’existence de garanties appropriées pour les droits et libertés de la personne concernée, l’autorisation du traitement par un acte législatif ou réglementaire, la protection des intérêts vitaux d’une personne physique. De plus, le traitement des données sensibles à des fins pénales doit porter sur des données manifestement rendues publiques par la personne concernée (2).

Exactitude des données et profilage interdit
En outre, le projet de loi « RGPD » prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en oeuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles – principe de l’exactitude des données (3). Les interdictions relatives aux décisions individuelles automatisées (4) sont applicables aux traitements de données personnelles en matière pénale – interdiction du profilage, par exemple (5). Il convient également de relever que le gouvernement a retenu des restrictions aux droits des personnes dans le cadre de ces traitements particuliers. Ces restrictions s’appliquent notamment pour éviter de gêner les enquêtes ou procédures judiciaires ou nuire à la prévention ou à la détection d’infractions pénales et à l’exécution de sanctions pénales ; protéger la sécurité publique ou la sécurité nationale ; ou encore garantir les droits et libertés d’autrui (6). Ces restrictions pourront consister à retarder ou limiter la fourniture des informations supplémentaires susceptibles d’être transmises à la personne concernée ou de ne pas les fournir, à limiter en totalité ou en partie le droit d’accès (le responsable du traitement devra consigner les motifs de fait ou de droit fondant da décision et les mettre à disposition de la Cnil) ou à ne pas informer la personne concernée de son refus de rectifier ou d’effacer les données la concernant ou le limiter le traitement. La personne concernée par ces traitements devrait toujours avoir la possibilité d’exercer ses droits par l’intermédiaire de la Cnil. C’est à cette dernière qu’il reviendra d’informer la personne concernée de son droit d’exercer un recours (7).
On notera que l’article 20 du projet de loi est une demande d’habilitation du gouvernement à légiférer par voie d’ordonnance, afin de procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978, en vue notamment de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel. Cette ordonnance devra être adoptée dans un délai de six mois suivant la promulgation de la loi relative à la protection des données personnelles. Ce texte arrive péniblement et non sans mal en fin de processus législatif, le Sénat et l’Assemblée nationale n’étant pas parvenus à un accord – la commission mixte paritaire a échoué à trouver un consensus (8). Les sénateurs ont maintenu leur projet de loi qu’ils ont voté le 19 avril dernier à l’unanimité. Mais les députés auront le dernier mot le 14 mai prochain. @

Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.

ZOOM

Ce qu’en disent la Cnil et le Conseil d’Etat : « Manque de lisibilité »
Si le texte constitue « un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques », il soulève plusieurs critiques de la part de la Commission national de l’informatique et des libertés (Cnil), qui, dans son avis du 30 novembre 2017 (9), regrette que certaines « propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives » ou encore « à l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen ».
Plus généralement, l’Autorité de contrôle déplore « le risque important de manque de lisibilité » des nouvelles dispositions du fait, notamment, du choix du projet de loi, consistant à n’opérer que les modifications « a minima » nécessaires à la mise en oeuvre du règlement et de la directive européens, et à renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure. La Cnil appelle dès lors à l’adoption la plus rapide possible de cette ordonnance. Quant au Conseil d’Etat, dans son avis du 7 décembre 2017 (10), i l n’apporte pas de nouveaux éléments par rapport à l’avis de la Cnil. La Haute juridiction souligne cependant que les choix légistiques aboutissent à « un résultat très insatisfaisant en termes de lisibilité du droit positif ». @

La Commission européenne plaide pour le respect du droit international dans l’affaire «Microsoft Irlande»

Dans l’affaire du stockage des données en Irlande qui oppose Microsoft au gouvernement américain, la Commission européenne a déposé un mémoire devant la Cour suprême des Etats-Unis dans lequel elle plaide pour une application des principes de « territorialité » et de « courtoisie internationale ». Explications.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le contentieux qui oppose depuis 2014 la société Microsoft et
le gouvernement américain à propos des e-mails stockés en Irlande est maintenant devant la Cour suprême des Etats-Unis. Ce litige concerne la portée éventuellement extraterritoriale des réquisitions judiciaires américaines dans le cadre d’enquêtes pénales. La police américaine avait demandé à Microsoft de livrer une copie de certains e-mails échangés par une personne soupçonnée d’activités criminelles.

Règles de bon voisinage entre Etats
Les e-mails étant stockés en Irlande et sous le contrôle de la société Microsoft Irlande, la firme de Redmond (Etat de Washington) s’était opposée à la réquisition, en indiquant qu’il fallait passer par les procédures de coopération internationale en matière d’enquêtes pénales. La Cour d’appel de Manhattan avait donné raison en 2016 à Microsoft, en indiquant que la loi fédérale sur les réquisitions était silencieuse sur l’éventuelle portée extraterritoriale des réquisitions et qu’une telle portée ne pouvait
pas être déduite de manière implicite. Le gouvernement américain avait porté l’affaire devant la Cour suprême des Etats-Unis. C’est là qu’intervient la Commission européenne, qui, en décembre 2017, a déposé un mémoire (amicus brief) pour éclairer la Cour suprême sur certains aspects de droit international (1). La Commission européenne plaide pour une application du principe de la territorialité et du principe de courtoisie internationale. Ces principes revêtent une importance croissante dans toutes les affaires concernant la régulation des activités numériques, ces activités étant par nature transnationales.
Le droit international part du principe que chaque Etat doit respecter la souveraineté des autres Etats. Ce respect se manifeste par le respect des eaux territoriales et des frontières physiques entre Etats. La violation d’une frontière d’un autre Etat est une violation du droit international. Ce respect se manifeste également par une prise en considération des lois en vigueur dans les autres pays. Ces principes de « bon voisinage » entre Etats se traduisent par les deux concepts de droit international évoqués par la Commission européenne, à savoir : le principe de « territorialité » et
le principe de « courtoisie internationale ». Le principe de territorialité signifie que les lois d’un Etat s’appliquent à l’intérieur du territoire de l’Etat en question et non sur le territoire d’un pays tiers. Il existe des exceptions à ce principe, mais celles-ci sont extrêmement limitées (il s’agit de cas d’occupation militaire, par exemple, d’un territoire étranger). La courtoisie internationale signifie que lorsqu’une loi produit des effets dans un autre Etat, le premier Etat doit prendre en considération les lois de cet autre Etat afin de minimiser les conflits avec les lois de cet autre Etat.
Appliqués dans l’affaire Microsoft, ces principes impliqueraient, en premier lieu, que
la police américaine ne peut pas effectuer une perquisition sur le territoire de l’Irlande, puisque le pouvoir de la police et l’étendue territoriale de la loi américaine s’arrêtent
aux frontières des Etats-Unis. En second lieu, la courtoisie internationale commanderait que lorsqu’un juge américain ordonne à Microsoft d’extraire des données et de les communiquer à la police aux Etats-Unis, le juge doit se demander si cette action serait en violation des lois irlandaises applicables. Si c’est le cas, le juge doit chercher une voie qui éviterait un tel conflit. La Commission européenne indique qu’il existe des mécanismes d’entraide internationale en matière d’enquête policière et que le règlement général sur la protection des données à caractère personnel (RGPD) de 2016 (2) ne s’oppose pas à des réquisitions de ce type, à condition d’utiliser la convention internationale. La Commission européenne cite le considérant 110 du RGPD, qui prévoit que l’application extraterritoriale de réquisitions judiciaires peut constituer une violation du droit international et qu’une entreprise établie en Europe
doit donc appliquer les lois locales.

Territorialité et activités de renseignement
Le groupe « Article 29 » (G29), qui réunit les « Cnil » européennes, préconise également un respect strict des règles de droit international afin de ne pas créer des conflits avec des lois d’autres pays (3). Les pays signataires de la Convention du Conseil de l’Europe sur la cybercriminalité (4) tentent justement de trouver un terrain d’entente afin de faciliter l’échange de données au niveau international sans violer les principes de territorialité et de courtoisie internationale (voir encadré ci-dessous). L’affaire Microsoft concerne en outre les enquêtes pénales. Le droit international est également mis à l’épreuve par les activités de renseignement. Jusqu’à 2015, il n’existait pas en France de cadre légal pour la conduite des activités de renseignement à l’étranger.

Contenus illicites et fake news
La loi française sur les activités de renseignement de 2015 (5) a créé un cadre pour ces activités. Après censure du Conseil constitutionnel, la loi a été modifiée afin de donner plus de garanties aux individus ciblés par ces activités de surveillance extraterritoriales. Cependant, le niveau des garanties accordées par la loi française aux individus résidant à l’étranger est plus faible que les garanties accordées aux résidents et citoyens français. Deux poids, deux mesures : un résidant espagnol bénéficie de moins de garanties qu’un résidant français en matière de surveillance. Cette différence de traitement surprend, car ni la Charte européenne des droits fondamentaux (adoptée le 7 décembre 2000) ni la Convention européenne des droits de l’homme (signé le 4 novembre 1950) ne prévoient une quelconque différence de protection en fonction de la résidence ou de la nationalité de la personne.Les règles de droit international jouent un rôle important dans la lutte contre des contenus illicites sur Internet. Chaque pays a sa propre définition de contenus illicites, fixée en fonction du contexte culturel et historique du pays. Dans certains pays, des contenus blasphématoires sont interdits. Dans d’autres, il s’agit des contenus qualifiés de propagande homosexuelle. Les conflits entre lois nationales sont fréquents, comme en témoigne l’affaire Yahoo en 2000 concernant la vente d’objets nazis (6). La mise aux enchères d’objets nazis n’est pas interdite aux Etats- Unis et serait même protégée par la liberté d’expression. En revanche, ces mêmes contenus sont considérés en France comme outrepassant la liberté d’expression. Les plateformes Internet étant globales, il serait tentant pour un juge national d’ordonner le retrait pur et simple du contenu afin qu’il ne soit plus visible où que ce soit dans le monde. Cependant, une telle approche serait en contradiction avec les principes de droit international mis en avant par la Commission européenne dans l’affaire Microsoft. Cela ouvrirait la voie à une surenchère internationale où chaque pays essayerait d’appliquer ses propres normes en matière de contenus au monde entier, en contradiction totale avec les des règles de courtoisie internationale et de territorialité. Depuis l’affaire Yahoo, les juges nationaux font justement preuve de prudence lorsqu’ils ordonnent le blocage de contenus sur Internet, en limitant les effets de leurs décisions au territoire national. Le Tribunal de grande instance de Paris a reconnu que Yahoo, par un système de géo-blocage, pouvait tout simplement bloquer l’accès au contenu pour les utilisateurs situés en France, ce qui est une manière d’appliquer la loi française à l’intérieur du territoire national sans créer de conflit avec la loi américaine. Même si le pouvoir du juge s’arrête aux frontières nationales, les actions d’autorégulation, notamment par les plateformes, peuvent avoir une dimension transnationale. La Commission européenne, à l’origine de la création d’un groupe de haut niveau sur les fake news (High Level group on Fake News) qui tient sa réunion inaugurale en janvier 2018 (7), privilégie l’angle de l’autorégulation (self-regulation) et du partage des bonnes pratiques (shared good practices) pour le phénomène du fake news (8). Le Conseil d’Etat préconise, quant à lui, l’adoption d’une convention internationale relative aux libertés fondamentales et aux principes de gouvernance d’Internet, ainsi que la mise
en place de dispositifs fondés sur l’autorégulation des opérateurs, à travers la mise
en conformité (compliance) et leur responsabilisation (accountability) (9).

Atténuer les contraintes par l’autorégulation
Le respect du droit international impose des contraintes, et notamment l’utilisation de procédures de coopération internationale. Certaines de ces contraintes peuvent être atténuées grâce à des mécanismes efficaces d’autorégulation en matière de contenus illicites sur Internet. @

ZOOM

Convention de Budapest : vers une coopération internationale renforcée
La Convention de Budapest sur la Cybercriminalité a été ouverte à la signature
en 2001. Elle a été complétée en 2013 par un « Protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques » (https://lc.cx/gWWx). « Alors que prospèrent la cybercriminalité et les autres infractions entraînant des preuves électroniques sur des systèmes informatiques, et que ces preuves sont de plus en plus stockées sur des serveurs hébergés dans des juridictions étrangères, multiples, fluctuantes ou inconnues, autrement dit dans le cloud, les pouvoirs des services répressifs sont limités par les frontières territoriales », a souligné le Conseil de l’Europe le 2 novembre 2017 en vue de renforcer la coopération internationale sur la cybercriminalité et les preuves électroniques. Les Parties à la Convention de Budapest, à savoir 56 Etats auxquels
14 autres ont été invités à y adhérer, ont organisé de 2012 à 2014 un groupe de travail sur l’accès transfrontière aux données, puis de 2015 à 2017, un groupe sur les preuves dans le cloud. Il s’agit notamment de négocier d’ici à décembre 2019, un deuxième protocole additionnel à la Convention de Budapest sur une coopération internationale renforcée. @