Médiamétrie s’apprête à désigner la personne qui succèdera à son PDG Bruno Chetaille, sur le départ

L’institut de mesure d’audience Médiamétrie aura un nouveau président pour ses 35 ans. Bruno Chetaille avait fait savoir, dès fin 2017 à son conseil d’adminis-tration, qu’il souhaitait partir. La personne qui lui succèdera fin mars 2020 va être désignée le 25 septembre prochain. C’est un poste hautement stratégique mais exposé.

La troisième personne qui présidera Médiamétrie, après sa fondatrice Jacqueline Aglietta et son successeur Bruno Chetaille (photo), sera connue dans les prochains jours. « La décision sera prise lors du conseil d’administration de septembre. Le process suit son cours », indique à Edition Multimédi@ Raphaël de Andréis (1), président du comité de nomination de Médiamétrie, dont il est membre du conseil d’administration. Selon nos informations, cette réunion d’intronisation est fixée au 25 septembre. Bruno Chetaille avait signifié dès fin 2017 son souhait de partir. Afin de procéder au recrutement dans la plus grande sérénité et d’assurer le tuilage, la décision avait été prise en juin 2018 de prolonger le mandat de l’actuel PDG jusqu’à fin mars 2020.
Les auditions des candidats se sont déroulées durant cet été devant le comité de nomination par délégation du conseil d’administration, au sein duquel siègent aussi Delphine Ernotte (présidente de France Télévisions), Nicolas de Tavernost (président du directeur du groupe M6), Ara Aprikian (directeur général adjoint de TF1 chargé des contenus), Sibyle Veil (présidente de Radio France), Frank Lanoux (vice-président d’Altice Media) ou encore Jean-Luc Chetrit (directeur général de l’Union des marques).

Nomination scrutée par les clients et coactionnaires
C’est que tout le monde médiatique et publicitaire que compte la France surveille comme le lait sur le feu le processus de désignation du troisième président de cette entreprise, dont les mesures d’audience sont aussi déterminantes pour les grilles des programmes que sensibles pour l’économie publicitaire des chaînes de télévision, des stations de radio, des sites web et même des salles de cinéma.
Chez Médiamétrie, rien ne se fait sans l’aval et le consensus des professionnels des médias, des annonceurs et des agences, dont certains détiennent chacun une participation minoritaire du capital de l’entreprise : côté médias (65 % du capital), Radio France, Europe 1 (Lagardère), SFR Média (Altice), TF1, France Télévisions, l’Ina, Canal+ ou encore M6 ; côté publicité (35 %), l’Union des marques, DDB (Omnicom), Dentsu Aegis, Havas Media, Publicis ou encore FCB. Désigner la personne qui présidera aux destinées d’un Médiamétrie de plus en plus digital, data, global et international nécessite une grande précision, afin de trouver le mouton à cinq pattes capable de relever les défis qui Continuer la lecture

E-démocratie : la révolution numérique détruit-elle ou enrichit-elle la décision collective?

Cette question sera débattue lors du colloque « Quel avenir pour la décision collective en démocratie ? », le 23 novembre 2018 à l’Assemblée nationale (1).
Le digital permet d’envisager une e-démocratie , mais les citoyens doivent être aptes à déjouer les jeux d’influences et d’infox.

Fabrice Lorvo*, avocat associé, FTPA.

La révolution numérique nous invite à repenser la manière dont les « décisions collectives » (2) sont prises au niveau politique. A ce jour, la décision collective s’exerce sous forme de mandat. Les électeurs désignent des représentants à l’Assemblée nationale et aussi un Président qui nomme un gouvernement. Ce mandat est représentatif (c’est-à-dire général, libre et non révocable), mais pas impératif (3).

E-élaboration des décisions et des lois
Ce système trouvait notamment sa justification dans des contraintes d’espace et de temps. Techniquement, il était impossible – puis difficile ou coûteux – de consulter tous les citoyens en même temps. La révolution numérique nous affranchit dorénavant de ces contraintes. On doit dès lors se demander si ces nouvelles capacités techniques sont de nature à justifier une mutation profonde dans la prise de décision collective.
Le numérique est un outil qui permet de renforcer la décision collective. Du point de
vue technique, la miniaturisation et le développement des télécommunications mobiles permet d’envisager la mise en place d’une démocratie numérique (4) dont l’objectif est, par l’utilisation d’Internet, d’accroître et de faciliter une plus large participation des citoyens au processus de décision et d’action politique et, ainsi, d’améliorer la transparence du processus démocratique. Parallèlement, force est de constater qu’au niveau sociologique, l’acceptation par les citoyens d’une décision prise par une autorité au nom de la collectivité est de plus en plus relative. Toute décision ayant un impact sur plusieurs individus n’est aujourd’hui acceptable que si elle a été préalablement exposée et discutée (5). Cette nouvelle aspiration démocratique s’exerce au niveau de l’information sur la décision à prendre, du débat sur son opportunité et sur son périmètre. Il existe aussi de plus en plus de revendications des citoyens pour pouvoir aussi décider directement.
En France, plusieurs initiatives politiques ont été prise en 2017 pour organiser sur Internet une élection primaire ouverte à tous les citoyens (sous certaines conditions), afin de désigner un candidat à l’élection présidentielle (6). Il y a aussi aussi une aspiration grandissante à un processus de rédaction collaborative : des consultations sont notamment organisées par certains parlementaires (7) pour associer les citoyens à la rédaction de leurs propositions de loi. Le stade ultime de cette démocratie numérique étant de pouvoir consulter en temps réel les citoyens sur tous les sujets. Au-delà de l’enthousiasme que suscite le concept de renouvellement démocratique, on doit s’interroger sur les nombreuses contraintes qu’il implique. Parmi elles : la cybersécurité, d’une part, et la participation, d’autre part. L’évolution vers une démocratie numérique n’est concevable que si elle se réalise dans un environnement informatique entièrement sécurisé : ce que l’on voit à l’écran n’est pas forcément la réalité (8).
Il faut en outre s’assurer, pour les votes électroniques, que ceux qui s’expriment ont bien la qualité d’électeurs, et donc qu’ils sont humains. Concernant la participation cette fois, promouvoir la démocratie numérique suppose une confiance dans le bon sens commun et l’intelligence collective. Elle revient aussi à spéculer sur l’envie de la collectivité des citoyens d’y participer, sachant que l’abstention est en hausse constante depuis 1958. Si l’instauration d’une démocratie numérique ne coïncide pas, simultanément, avec une mobilisation citoyenne pour y participer, il est plus que probable que la démarche sera un échec. Au pire, la décision collective ne sera plus que l’expression de la volonté d’une minorité active ou de groupes d’intérêt. Ce renouvellement pose aussi une question socialement difficile à aborder, surtout dans l’environnement narcissique créé par le numérique : tout le monde peut-il ou doit-il avoir un avis sur tout ?

Intérêt général et intérêts particuliers
Les facilités techniques offertes par le numérique sont sans effet sur la complexité du processus d’élaboration d’une décision et notamment d’une loi. Une décision ne peut être prise qu’en considération de contraintes horizontales (une décision qui semble juste dans un domaine ne doit pas avoir pour effet de créer une injustice dans un autre) et de contraintes verticales (une décision doit prendre en considération à la fois notre passé pour des questions de cohérence et l’avenir, à savoir l’intérêt des générations futures). Les facilités précitées sont aussi sans effet sur la technicité de certains sujets qui ne peut être ignorée. Enfin, on doit se demander si tous les sujets peuvent faire l’objet d’une consultation ou d’une décision collective. En principe, les décisions doivent être prises en fonction d’objectifs dictés par l’intérêt général. Or ce dernier n’est pas mathématiquement la somme des intérêts particuliers. Prenons l’exemple du tabac,
qui est probablement l’un des plus grands fléaux de santé publique : pour réduire la consommation, le gouvernement a décidé un train de hausses successives des prix jusqu’en novembre 2020. Cette décision est objectivement pertinente d’un point de
vue social, mais il est peu probable qu’elle aurait fait consensus notamment dans la catégorie des fumeurs si les citoyens avaient été consultés. Certaines décisions doivent donc être prises contre l’intérêt immédiat de leurs bénéficiaires. De la même manière, le caractère d’intérêt général peut être reconnu par les citoyens tout en étant vigoureusement refusée par ceux qui ont à le subir (9).

Influence collective et manipulation
Le numérique est aussi un outil qui permet d’influencer la décision collective. Notre démocratie repose sur le postulat que l’électeur est capable (il sait ce qu’il fait). Cependant, cette capacité peut être fortement altérée par le numérique. Au niveau international, il existe dans l’histoire récente au moins deux cas aux Etats-Unis qui semblent le suggérer : en 2016, des autorités de sécurité intérieure américaines (10) ainsi que le FBI (11) ont dénoncé des interventions du gouvernement russe pour influencer les élections américaines (notamment par les révélations sur les e-mails d’Hillary Clinton publiés sur les sites DCLeaks.com and Wikileaks). Toujours en 2016,
il est prétendu que l’élection de Trump a pu être favorisée par le recours au Big Data. Le candidat Trump a fait appel à la société Cambridge Analytica dont l’activité consiste à fournir aux entreprises et aux mouvements politiques des stratégies et opérations de communication clés-en-main basées sur l’analyse des données à grande échelle. Cette société annonce « utiliser les données pour changer le comportement du public » . Comme l’a reconnu Facebook (12), Cambridge Analytica aurait siphonné les données de 87 millions des utilisateurs du réseau social pour identifier et solliciter dans la société civile américaine le très fort courant anti-élites qui pouvait favoriser l’émergence d’un candidat atypique.
Ces deux événements ont, de manières différentes, participé à influencer la décision collective dans le choix d’un Président en utilisant le numérique. La première a consisté à intervenir auprès de l’opinion publique pour discréditer un candidat par l’information ; la seconde a permis d’identifier et de solliciter des électeurs qui auraient pu être passifs, et ce uniquement en les ciblant à l’aide de leur data. S’agissant de la propagande, il a toujours existé un lien intime entre opinion publique et décision collective. En conséquence, les tentatives d’influence de l’opinion ne sont pas nouvelles. Cependant ces manipulations ont, avec le numérique, une efficacité nouvelle incommensurable du fait de l’immédiateté de la diffusion, de sa mondialité et de son caractère potentiellement viral. En d’autres termes, les outils de propagande devaient, par le passé (13), être fabriqués mais leurs sources permettaient de les identifier. Aujourd’hui, Internet et les réseaux sociaux constituent un espace existant, gratuit et souvent anonyme au niveau de la source. S’agissant des données collectées dans le monde numérique, leur utilisation va exposer notre société à des maux inédits. En effet, en principe, celui qui convoite les suffrages tente de faire adhérer le public à son projet. Aujourd’hui, avec l’analyse du Big Data, ce sont les algorithmes qui vont probablement prédire les convictions à affirmer et les personnes à solliciter.
Que ce soit par les infox (fake news) ou par le profilage avec des data, le numérique rend possible une sollicitation individuelle nouvelle qui permet d’agir sur le comportement des citoyens. Ces démarches semblent permettre l’activation des comportements individuels. Dans son dernier livre (14), l’historien israélien Yuval
Noah Harari parle de possibilité de « pirater les êtres humains ».
En conclusion, il est fort probable que le renouveau démocratique espéré par l’utilisation de l’outil digital aboutisse à un double effet. D’un côté, une amélioration visible de la décision collective par la création d’un lien plus étroit entre le citoyen et son représentant, avec deux types de flux (du représentant vers le citoyen en renforçant la transparence et l’information, et du citoyen vers le représentant pour l’expression d’une opinion). De l’autre, et « en même temps », une altération invisible de la décision collective du fait des interventions sur la volonté des citoyens (en utilisant l’émotion et l’intérêt individuel plutôt que la raison et l’intérêt collectif). L’un des principaux remparts pour lutter contre la manipulation des individus par « l’information », c’est de cultiver l’esprit critique de chaque citoyen et faire de l’éducation au média. Pour ne pas subir demain les effets négatifs de la révolution numérique, il faut plus que jamais investir aujourd’hui et massivement dans l’Ecole de la république. Nous commençons aussi à payer très cher la démarche de gratuité des médias, accélérée par le numérique. S’il n’est pas contestable que la presse soit « le chien de garde » de la démocratie, il faudrait rapidement réapprendre « à nourrir le chien ».

Une réflexion éthique s’impose
S’agissant des data, leur traitement de masse va jouer un rôle décisif très prochainement au niveau politique, et donc au niveau de la décision collective. Notre société a pris conscience de l’importance des données, notamment avec le RGPD (15). Il faut aller encore plus loin dans la réflexion sur qui doit contrôler les Big Data – le secteur privé ? L’Etat ? – et jusqu’où peut-on les utiliser ? On doit conserver à l’esprit que nous maîtrisons mal la portée de la nouvelle connaissance que nous apportera le Big Data. Dans l’exploration de ce nouveau monde, les envolées techniques permises par le numérique doivent plus que jamais être contrebalancées par une réflexion éthique. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude menée par Gartner, 20 milliards d’objets connectés seraient en circulation en 2020 (1). Qu’il s’agisse du domaine de la santé, du bien-être, du sport, de la domotique ou encore du loisir, l’attrait des utilisateurs pour les objets connectés est caractérisé. Paradoxalement, bien qu’avertis, ces derniers ne mesurent pas toujours les risques qui pèsent sur leur vie privée et leurs données personnelles. Ces deux notions – vie privée et données personnelles – ne sont pas synonymes, bien qu’intrinsèquement liées (2).

Les exemples de Linky et de Gazpar
La donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » (3). A l’inverse, la vie privée ne trouve pas de définition légale bien que le Code civil consacre un droit au respect de la vie privée (4). Les apports de la jurisprudence permettent aujourd’hui de définir la notion de vie privée comme « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures » (5). Ainsi, si un objet connecté peut porter atteinte aux données personnelles d’un utilisateur (collecte illicite des données personnelles, failles de sécurité permettant aux tiers d’accéder aux données, etc.), il peut également dans une plus large mesure porter atteinte à sa vie privée (captation d’images ou de voix, intrusion dans l’intimité, etc.). L’ubiquité et l’omniprésence des objets connectés dans la vie des utilisateurs conduisent à une collecte permanente et instantanée des données. Par ce biais, de nombreuses informations relatives à la vie privée des utilisateurs deviennent identifiables. D’ailleurs, la divulgation massive de données relatives à la vie privée lors de l’utilisation d’un objet connecté est souvent
une condition sine qua non à l’existence du service proposé par le fabricant. A titre d’exemple, la nouvelle génération de compteurs d’électricité et de gaz, tels que respectivement Linky et Gazpar qui ont fait l’objet d’une communication (6) de la Cnil en novembre 2017, peut collecter des données de consommation énergétique journalières d’un foyer. Si l’utilisateur y consent, des données de consommation plus fines peuvent être collectées par tranche horaire et/ou à la demi-heure. Cela permet d’avoir des informations très précises sur la consommation énergétique de l’usager. Dans l’hypothèse d’un traitement insuffisamment sécurisé, une personne malveillante pourrait alors avoir accès à des informations telles que les plages horaires durant lesquelles l’usager est absent de son logement, celles pendant lesquelles il dort ou encore les types d’appareils utilisés. Les habitudes d’une personne peuvent ainsi être déterminées aisément, ce qui constitue une atteinte à la vie privée. La décision de la Cnil, datée du 20 novembre 2017 et mettant demeure la société Genesis Industries Limited (7), est une autre illustration des risques encourus par l’utilisation des objets connectés notamment au regard de la vie privée. Cette société commercialisait des jouets connectés qui pouvaient interagir avec les enfants. Suite à un contrôle effectué par la Cnil, il a été constaté une absence de sécurisation des jouets (8) qui permettait à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter à l’insu des personnes et d’avoir accès aux discussions échangées dans un cercle familial ou amical (9). L’intrusion dans la vie privée à travers les objets connectés peut ainsi être importante et particulièrement dangereuse lorsqu’il s’agit d’un utilisateur vulnérable tel qu’un enfant mineur.
Pour autant, une réglementation est difficilement applicable aux objets connectés. Tout d’abord, une incompatibilité d’origine des objets connectés avec certains principes relatifs au traitement des données personnelles doit être soulignée.

Proportionnalité, mesure de soi et Big Data
A titre d’exemple, le principe de proportionnalité (10), qui requiert que les données soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, ne peut être satisfait dans le cadre de l’utilisation d’un objet connecté dit quantified-self – c’està- dire un appareil connecté pour la «mesure de
soi ». En effet, le nombre de données collectées sera nécessairement important
pour qu’un service adapté à l’utilisateur puisse être fourni. De même le principe
de conservation limité des données collectées (11) peut difficilement être mis en application dans le cadre d’un service fourni par un objet connecté. En effet, la conservation des données pour une durée indéterminée représente souvent une opportunité pour les fabricants dans le cadre du Big Data.
Aujourd’hui, en vertu de la loi « Informatique et Libertés », une obligation d’information pèse sur les responsables de traitement (12). De même, en vertu du Code de la consommation, une obligation pré-contractuelle d’information pèse sur le professionnel qui propose un bien ou un service (13). L’utilisateur d’un objet connecté doit ainsi pouvoir avoir des informations claires et précises sur le traitement de ses données, mais également sur les caractéristiques de l’objet connecté.

Loi française et règlement européen
Or, la récente assignation de deux plateformes majeures dans le monde numérique
– notamment sur le fondement de pratiques commerciales trompeuses au motif d’un nonrespect de l’obligation précontractuelle d’information dans le cadre de la vente d’objets connectés (14) – souligne les difficultés relatives à l’information des utilisateurs. L’avis de 2014 du G29, le groupe qui réunit les « Cnil » européennes, sur les objets connectés illustre également le manque d’informations des utilisateurs sur le traitement de leurs données (15). Ainsi, bien qu’une réglementation protectrice des utilisateurs d’objets connectés soit applicable, celle-ci est difficilement mise en oeuvre. De cet obstacle découle la question de la validité du consentement de l’utilisateur. Si le droit
à l’autodétermination informationnelle – droit pour toute personne de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la loi « Informatique et libertés » – a été récemment affirmé en France, son effectivité au regard des objets connectés semble moindre.
En effet, même si au moment de l’activation de l’appareil le consentement à la collecte de certaines données est recueilli auprès de l’utilisateur, il convient de souligner que
par la suite des données sont délivrées de manière involontaire. Par exemple, dans le cadre d’une montre connectée, l’utilisateur consent à la collecte de données relatives au nombre de pas qu’il effectue au cours de la journée. Mais lors de cette collecte, le responsable de traitement peut également avoir accès à d’autres données telles que celles relatives à la géolocalisation de l’utilisateur. En ce sens, le consentement recueilli n’est pas toujours éclairé et le droit à l’autodétermination informationnelle n’en sera qu’affaibli. Ainsi, la protection de l’utilisateur d’un objet connecté semble moindre. L’applicabilité du règlement européen sur la protection des données personnelles le
25 mai prochain – règlement dit RGPD pour « règlement général sur la protection des données » (16) – permet d’envisager une amélioration de la protection des utilisateurs d’objets connectés sur plusieurs points. Tout d’abord, par l’exigence de la mise en place de mesures permettant d’assurer une protection de la vie privée par défaut et dès la conception de l’objet connecté, le fabricant sera amené à prendre en compte les questions relatives à la vie privée de l’utilisateur en amont d’un projet (17). De même, les nouvelles mesures de sécurité devant être prises, tant par les responsables de traitement que les sous-traitants (par exemple, la pseudo-nymisation, les tests d’intrusion réguliers, ou encore le recours à la certification), tendront à garantir une meilleure protection des données personnelles des utilisateurs (18). Ensuite, la mise
en place de nouveaux droits pour l’utilisateur tels que le droit d’opposition à une mesure de profilage (19), le droit d’effacement des données pour des motifs limitativement énumérés (20) ou encore le droit à la portabilité des données (disposition déjà introduite par la loi « République numérique » du 7 octobre 2016 dans le Code de la consommation aux articles L. 224-42-1 et suivants) consolideront les moyens conférés aux utilisateurs d’objets connectés pour protéger leur vie privée. Il convient de souligner que cette amélioration dépend tout de même d’une information effective de l’utilisateur. En effet, si le fabricant ou le distributeur de l’objet n’informe pas l’utilisateur des différents droits dont il dispose, il semble peu probable que les utilisateurs les moins avertis agissent. Enfin, si la question de l’applicabilité de la réglementation européenne pour les acteurs situés en dehors de l’Union européenne (UE) pouvait se poser notamment lorsqu’ils collectaient des données d’utilisateurs européens, celle-ci n’aura plus lieu d’être à compter du 25 mai 2018. En effet, tout responsable de traitement ou sous-traitant qui n’est pas établi dans l’UE dès lors qu’il collectera des données personnelles de personnes se trouvant sur le territoire de l’UE sera contraint de respecter la réglementation européenne relative aux données personnelles. Ce point est important puisque dans le cadre des objets connectés, souvent, les flux de données ne connaissent pas de frontières.

Gagner la confiance du public
L’équation objets connectés, vie privée et données personnelles est par définition difficile. La révélation massive et constante de données relatives à une personne implique nécessairement une intrusion importante et parfois non voulue dans la vie des utilisateurs. Cependant, l’existence d’un arsenal juridique tant en droit français qu’en droit européen permet de limiter les impacts négatifs générés par les objets connectés. D’ailleurs il convient de noter que, dans le récent cadre de la réécriture de la loi
« Informatique et Libertés », la commission des lois a adopté un amendement permettant à une personne concernée d’obtenir réparation au moyen d’une action
de groupe du dommage causé par un manquement du responsable de traitement
ou sous-traitant aux dispositions de cette loi. Finalement, dans un marché hautement concurrentiel, les objets connectés qui survivront seront ceux qui auront su gagner la confiance du public et présenteront le plus de garanties en matière de respect à la vie privée et de sécurité. @

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.

 

La Commission européenne est décidée à favoriser, tout en l’encadrant, l’économie de la data

Dans une communication publiée le 10 janvier 2017, la Commission européenne prévoit de favoriser – tout en l’encadrant – le commerce des données numériques. Cette régulation de la data suppose notamment de réviser dès
cette année la directive de 1996 sur la protection des bases de données.

L’année 2017 sera placée sous le signe de la data. La Commission européenne veut encadrer l’exploitation des données dans une économie de plus en plus numérique.
La communication qu’elle a publiée le 10 janvier, sous le titre
« Construire une économie européenne de la donnée » (1), devait être rendue publique en novembre. Finalement, elle
l’a été avec deux mois de retard et fait l’objet d’une vaste consultation publique – jusqu’au 26 avril prochain.

Une loi européenne d’ici juin 2017 ?
Ces nouvelles règles sur la data utilisée à des fins commerciales doivent mieux encadrer la manière dont les entreprises s’échangent des données numériques entre elles pour développer leur chiffre d’affaires et générer des pro f i t s . I l s’agit d’év i ter que les consommateurs – internautes et mobinautes – soient pris au piège d’accords d’utilisation qu’ils ne pourraient pas refuser, donnant ainsi implicitement à d’autres entreprises que leur fournisseur numérique l’accès à leurs données personnelles. Toutes les entreprises sont potentiellement concernées. Si la communication n’a pas de caractère contraignant, la Commission européenne se réserve la possibilité de légiférer si les entreprises n’appliquaient pas ses suggestions sur le partage de données. Andrus Ansip (photo), viceprésident de la Commissaire européen en charge du Marché unique numérique et – depuis le 1er janvier 2017 – de l’Economie et de la Société numériques (2), a déjà laissé entendre qu’un texte législatif sur la propriété des données et l’accès à ces données pourrait être proposé d’ici juin 2017.
Tous les secteurs de l’économie – industries, services, e-commerce, … – sont en ligne de mire. Déplorant l’absence d’étude d’impact, un cabinet d’avocats (Osborne Clarke)
a recommandé à la Commission européenne de ne pas se précipiter à édicter une nouvelle loi. De nombreux secteurs économiques craignent cette régulation de la data et la perçoivent comme un frein à leur développement. Par exemple, dans l’industrie automobile, l’Association européenne des constructeurs d’automobiles (3) a fait savoir lors d’une conférence à Bruxelles le 1er décembre dernier sur le thème de
« Smart cars: Driven by data » que les données des conducteurs appartenaient aux constructeurs, lesquels pouvaient les vendre à d’autres entreprises. Au moment où la voiture connectée et/ou autonome démarre sur les chapeaux de roue, les industriels
de l’automobile entendent garder la maîtrise des données collectées et leur exploitation comme bon leur semble. Or la Commission européenne souhaite au contraire ne pas laisser faire sans un minimum de règles communes et en appelle à des expérimentations comme dans le cadre du programme CAD (Connected and Autonomous Driving). Les autres secteurs ne sont pas en reste. Cela concerne aussi
le marché de l’énergie (comme les compteurs intelligents), le domaine de la maison connectée, la santé ou encore les technologies financières. En outre, le potentiel de l’Internet des objets (des thermostats aux lunettes connectées), des usines du futur ainsi que de la robotique connectée est sans limite et le flux de données en croissance exponentielle.
Alors que la data constitue plus que jamais le pétrole du XXIe siècle, tant en termes d’économie de marché, de création d’emplois et de progrès social, elle est devenue centrale. L’économie de la donnée est créatrice de valeur pour l’Europe, avec 272 milliards d’euros de chiffre d’affaires généré en 2015 – soit 1,87 % du PIB européen.
Ce montant pourrait, selon les chiffres fournis par la Commission européenne, pourrait atteindre 643 millions d’euros d’ici 2020, soit 3,17 % du PIB européen (4).

Encadrer sans freiner l’innovation
La communication « Construire une économie européenne de la donnée » veut donner une impulsion à l’utilisation des données à des fins lucratives, tout en l’encadrant, sans attendre l’entrée en vigueur à partir du 25 mai 2018 de la nouvelle réglementation européenne sur la protection des données (5). Mais la Commission européenne ne veut pas non plus freiner les Vingt-huit dans le développement de l’économie de la donnée et creuser un peu plus l’écart avec les Etats- Unis. Aussi, voit-elle dans la régulation de la data une manière de contribuer au développement du marché unique numérique en donnant un accès le plus large aux bases de données – au Big Data – et en empêchant les barrières à l’entrée au détriment des nouveaux entrants et de l’innovation. Objectif : favoriser la libre circulation des données au sein de l’Union européenne, ainsi que la libre localisation de ces données dans des data centers, sans que ces échanges et ces stockages se fassent au détriment des consommateurs et de leur libre arbitre. Il s’agit aussi d’éviter la fragmentation du marché unique numérique par des réglementations nationales différentes selon les pays européens. La data se retrouve au cœur du marché unique numérique, que cela soit en termes de flux libres, d’accès, de transfert, de responsabilité, de sécurité, de portabilité, d’interopérabilité et de standardisation.

Pour la libre circulation des données
Dans sa communication « Construire une économie européenne de la donnée », dont un draft était disponible en ligne depuis décembre dernier, Bruxelles réaffirme la libre circulation des données (free flow of data) au sein de l’Union européenne et s’oppose aux barrières réglementaires numériques telles que l’obligation de localiser les données dans le pays concerné (6). Dans le prolongement de sa communication, la Commission européenne discutera avec les Etats membres sur les justifications et la proportionnalité des mesures réglementaires de localisation des données, ainsi que de leurs impacts sur notamment les petites entreprises et les start-up. Bruxelles est prêt à durcir le ton en cas de localisation abusive des données.
Partant du principe que les données peuvent être personnelles ou non personnelles, il est rappelé que la réglementation de 2016 sur la protection des données personnelle (en vigueur à partir de fin mai 2018), s’applique aux premières. Et quand un appareil connecté génère de la donnée qui permet d’identifier une personne, cette donnée est considérée comme étant à caractère personnel jusqu’à ce qu’elle soit anonymisée.
Or, constate la Commission européenne, l’accès aux données au sein des Vingt-huit est limité. La plupart des entreprises utilisant une grande quantité de données le font en interne. La réutilisation des données par des tiers ne se fait pas souvent, les entreprises préférant les garder pour elles-mêmes. De plus, beaucoup d’entreprises n’utilisent pas les possibilités des API (Application Programming Interfaces) qui permettent à différents services d’interagir avec d’autres en utilisant les données extérieures ou en partageant les siennes. Peu d’entreprises sont en outre équipées d’outils ou dotées de compétences pour quantifier la valeur économique de leurs données.
Quant au cadre réglementaire, au niveau européen ou à l’échelon national, il ne les incite pas à valoriser leur capital data. S’il y a bien le nouveau règlement sur la protection des données personnelle, les données brutes impersonnelles produites
par les machines échappent à l’actuel droit sur la propriété intellectuelle faute d’être
« intelligentes ». Tandis que la directive européenne du 11 mars 1996 sur la protection juridique des bases de données permet, elle, aux auteurs de bases de données le droit d’empêcher l’extraction et/ou la réutilisation de tout ou partie de leurs bases de donnés. Sans parler de la nouvelle directive européenne sur le secret des affaires, à transposer par les Etats membres d’ici juin 2018, qui limite l’accès à certaines informations capitales pour l’entreprise. Difficile de s’y retrouver dans ce dédale de textes législatifs. Un cadre réglementaire plus lisible et compréhensible est donc nécessaire, aux yeux de la Commission européenne, pour les données générées par les machines et les objets connectés, sur leur exploitation et leur traçabilité. Faute de quoi, l’économie de la data continuera de relever le plus souvent de relations contractuelles. Or, Bruxelles estime que cela ne suffit pas et qu’il faut un cadre adapté pour les nouveaux entrants et éviter les marchés verrouillés. Ceux que la Commission européenne appelle les propriétaires de facto de données que leurs écosystème génère ont un avantage compétitif sur leur marché, surtout en l’absence de réglementation ou de cadre juridique appropriés.

Afin que les réglementations nationales différentes ne s’imposent au détriment d’une harmonisation communautaire et des services de données transfrontaliers, une législation sur l’accès aux données pourrait voir le jour en Europe afin : d’encadrer le commerce de données générées par les appareils connectés, de faciliter et d’inciter
au partage de telles données, de protéger les investissements et les actifs, d’éviter la divulgation de données sensibles ou confidentielles, et de minimiser les effets de blocage (lockin) dans l’accès aux données.
La Commission européenne prévoit notamment : de réviser en 2017 la directive
« Bases de données » de 1996, de favoriser le développement les API pour faciliter
la création d’écosystèmes numériques, d’édicter des contrats-type portant sur l’exploitation de données, de contrôler les relations contractuelles B2B (7) et d’invalider des clauses abusives, de donner accès aux données d’intérêt général ou issues des services publics (8), d’instaurer un droit des producteurs de données à accorder des licences d’utilisation de ces données, et, enfin, de donner accès à la data contre rémunération.

Responsabilité et assurance
La responsabilité juridique liée à l’exploitation de toutes ces données devra aussi être clarifiée – quitte à envisager la révision de la directive européenne de 1985 sur la responsabilité du fait des produits défectueux (9) – pour prendre en compte les nouveaux écosystèmes tels que l’Internet des objets ou encore la voiture autonome, sans parler des implications au niveau des assurances. @

Charles de Laubier

En voulant devenir « le premier GAFA européen », SFR veut lui aussi tirer partie de la data et de la pub

Michel Combes veut faire croire que l’opérateur télécoms SFR, dont il est le PDG, va devenir « le premier GAFA européen » ! « Un peu ambitieux », concède-t-il. Mais en investissant dans les contenus, il se donne les moyens d’accéder aux données de ses millions de clients monétisables par la publicité.

« L’alternative pour les opérateurs télécoms est simple : se cantonner au rôle de fournisseur de tuyaux dans lequel on essaie de nous inciter à rester, ou bien dépasser ce rôle originel pour être pourvoyeurs de services nous mêmes et en quelque sorte devenir “les nouveaux GAFA” du monde qui s’ouvre afin de renouer avec
la croissance. C’est le dilemme stratégique », a exposé Michel Combes (photo), président du groupe SFR, lors du colloque organisé le 31 mai par NPA Conseil sur le thème de « Vers le meilleur des deux mondes ».

SFR va importer en France les pratiques de publicités ciblées de Cablevision, câbloopérateur américain que
vient de racheter sa maison mère Altice.

Triptyque télécoms-médias-publicité
« Nous avons donc décidé de donner le coup d’envoi en France à une convergence entre les télécoms et les médias ou les services numériques, en positionnant clairement le nouveau groupe SFR comme le premier GAFA européen. C’est peut-être un peu ambitieux… », a-t-il poursuivi. La filiale télécoms d’Altice, holding du milliardaire Patrick Drahi, tente ainsi de mettre en place un triangle vertueux, en se positionnant sur trois ingrédients qu’elle estime essentiels : l’accès (le métier de base de SFR, fixe ou mobile totalement convergents), les contenus et services numériques (pour se différencier), la publicité, dont celle ciblée, en regroupant les régies (télévision, presse et digitale). « Il s’agit de construire dans les mois à venir un distributeur de contenus, mais surtout un acteur télécoms-médias-publicité », a-t-il résumé. En se positionnant résolument comme un GAFA, l’opérateur télécoms SFR est décidé à essayer de se battre à armes égales avec Google, Apple, Facebook, Amazon et les autres acteurs du numérique. Le nerf de la guerre réside dans le Big Data que la publicité en ligne permet de monétiser. « Quand Verizon achète AOL [en mai 2015 pour 4,4 milliards de dollars, ndlr] ou s’intéresse à Yahoo comme AT&T, c’est pour aller chercher de nouvelles compétences – notamment dans le domaine de la publicité ciblée, avec ce vieux rêve qu’un jour les opérateurs télécoms devraient rerentrer sur le marché de la publicité digitale », a justifié Michel Combes. Selon cet ingénieur X-Télécom (Polytechnique et Ecole nationale supérieure des télécommunications), « il n’y a pas de fatalité à ce que ce marché reste exclusivement aux mains des acteurs du numériques, alors même que les opérateurs télécoms concentrent entre leurs mains les portefeuilles de clients très importants, des audiences immenses qu’ils n’ont pas su jusqu’à présent monétiser ». Le groupe SFR compte 17 millions d’abonnés mobile et 6,3 millions dans le fixe. Mais de l’aveu même de Michel Combes, les données qu’ils représentent restent sous-exploitées. « Pour un opérateur télécoms, c’est difficile d’avoir accès à ces données car ses clients n’en voient pas la finalité ni l’intérêt. Alors que lorsque vous êtes un acteur de contenus, ils vont vous les donner. Donc, le fait d’être dans le contenu nous donne accès aussi aux data. (…) Nous avons besoin de la data individuelle du client », a-t-il indiqué. A ce propos, il se dit convaincu que « seuls des modèles d’opt-in fonctionneront à terme, c’est-à-dire que nous ne pourrons pas – et c’est peut-être un bien – utiliser les données des clients sans sa décision de nous donner accès à ses données ».

Une autre raison d’entrer dans le contenu est que cela donne à l’opérateur télécoms l’accès à un inventaire de publicités, c’est-à-dire aux espaces publicitaires disponibles sur les différents médias en ligne (sites web, applications mobile ou réseaux sociaux). SFR, dont la maison mère Altice finalise d’ici fin juin le rachat du câblo-opérateur américain Cablevision pour 17,8 milliards de dollars, compte importer en France les pratiques de publicités ciblées d’outre- Atlantique. « Les câblo-opérateurs aux Etats-Unis ont historiquement eu accès à une partie de l’inventaire publicitaire des programmes audiovisuels qu’ils distribuent. Une partie de leurs recettes n’est pas liée
à l’accès mais à la publicité. Ces opérateurs de télédistribution ont ainsi réfléchi à des modèles économiques un peu nouveaux pour mieux monétiser leurs audiences. Cablevision a lancé des activités de publicités ciblées, individualisées, sur l’écran
de télévision », a constaté le patron de SFR. Ainsi, aux Etats-Unis, le broadcast
se retrouve avec des schémas assez similaires à ceux de l’Internet : meilleure monétisation des publicités, avec la complétude des réseaux, la géolocalisation et
la capacité de comprendre les usages des téléspectateurs.

Accéder à l’inventaire publicitaire « Nous souhaitons amener ces briques technologiques en France, où nous n’avons pas accès à cet inventaire de publicité. C’est une des raisons de rentrer dans le contenu, car cela nous donne en fait un inventaire publicitaire ». En regroupant les régies publicitaires de la télévision (BFM TV, BFM Business, News24, …), de la presse (Libération, L’Express, …) et du digital (sites web, applis mobile, …), SFR veut tenir tête au GAFA en étant « GAFA » lui-même. @

Charles de Laubier

Chômage et inégalités : la face cachée du numérique

En fait. Du 20 au 23 janvier, s’est tenu à Davos le 46e Forum économique mondial (World Economic Forum) sur le thème cette année de « la 4e révolution industrielle » (numérique, biotechnologie, robotique, intelligence artificielle, …), dont Internet est le catalyseur. Rime-t-elle avec chômage et inégalités ?

En clair. Après la première révolution industrielle (machine à vapeur, transports), la deuxième (électricité, travail à la chaîne), la troisième (numérique, électronique), voici que la quatrième révolution industrielle apparaît comme un cocktail explosif et disruptif mêlant digital, robotique, nanotechnologies, génétique, biotechnologie, intelligence artificielle, impression 3D, Internet des objets, apprentissage automatique (machine-learning), véhicules autonomes, ou encore Big Data. Première conséquence majeure pour le commun des mortels : toutes ces innovations convergentes pourraient provoquer au cours des cinq prochaines années la perte nette de 5,1 millions d’emplois dans quinze pays représentant 65 % de la main d’oeuvre mondiale, selon les prévisions alarmistes du rapport « The Future of Jobs » (1) publié le 18 janvier par le Forum économique mondial. En fait, la perte atteindrait 7,1 millions emplois s’il n’y avait pas
2 millions de nouveaux postes créés dans ces quinze pays (2) – cela ne fait guère
plus que 133.333 créations d’emplois en moyenne dans chacun de ces pays. C’est finalement très peu et pour le moins décevant – pour ne pas dire inquiétant – pour
une quatrième révolution industrielle qui nous promet tant depuis des années. Le tout numérique et le tout-robotique risquent de généraliser le chômage de masse, ce
qui ne manquerait pas d’accentuer les inégalités déjà criantes et de creuser encore
plus le fossé entre les (très) riches et les (très) pauvres – pays et/ou individus. Publié
le 18 janvier, soit l’avant-veille de la réunion de Davos, le rapport « An Economy for the 1%» (3) de la confédération internationale Oxam (nom venant d’Oxford Committee for Relief Famine, ONG fondée en Grande-Bretagne en 1942) démontre que les 62 personnes les plus riches au monde possèdent désormais à elles seules autant que
les 3,5 milliards de personnes les plus pauvres, lesquels constituent la moitié de la population mondiale !

Et ce n’est pas fini : une autre étude de Forum économique mondiale estime que la transformation digitale des industries dans le monde (4) pourrait générer de la « valeur combinée » entre industrie et société à hauteur de 100 trillions de dollars sur les dix prochaines années, soit 100.000 milliards de dollars ! Mais cette transformation digitale massive présentent des risques, s’alarme l’étude. Nous sommes prévenus. @

Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @