Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude menée par Gartner, 20 milliards d’objets connectés seraient en circulation en 2020 (1). Qu’il s’agisse du domaine de la santé, du bien-être, du sport, de la domotique ou encore du loisir, l’attrait des utilisateurs pour les objets connectés est caractérisé. Paradoxalement, bien qu’avertis, ces derniers ne mesurent pas toujours les risques qui pèsent sur leur vie privée et leurs données personnelles. Ces deux notions – vie privée et données personnelles – ne sont pas synonymes, bien qu’intrinsèquement liées (2).

Les exemples de Linky et de Gazpar
La donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » (3). A l’inverse, la vie privée ne trouve pas de définition légale bien que le Code civil consacre un droit au respect de la vie privée (4). Les apports de la jurisprudence permettent aujourd’hui de définir la notion de vie privée comme « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures » (5). Ainsi, si un objet connecté peut porter atteinte aux données personnelles d’un utilisateur (collecte illicite des données personnelles, failles de sécurité permettant aux tiers d’accéder aux données, etc.), il peut également dans une plus large mesure porter atteinte à sa vie privée (captation d’images ou de voix, intrusion dans l’intimité, etc.). L’ubiquité et l’omniprésence des objets connectés dans la vie des utilisateurs conduisent à une collecte permanente et instantanée des données. Par ce biais, de nombreuses informations relatives à la vie privée des utilisateurs deviennent identifiables. D’ailleurs, la divulgation massive de données relatives à la vie privée lors de l’utilisation d’un objet connecté est souvent
une condition sine qua non à l’existence du service proposé par le fabricant. A titre d’exemple, la nouvelle génération de compteurs d’électricité et de gaz, tels que respectivement Linky et Gazpar qui ont fait l’objet d’une communication (6) de la Cnil en novembre 2017, peut collecter des données de consommation énergétique journalières d’un foyer. Si l’utilisateur y consent, des données de consommation plus fines peuvent être collectées par tranche horaire et/ou à la demi-heure. Cela permet d’avoir des informations très précises sur la consommation énergétique de l’usager. Dans l’hypothèse d’un traitement insuffisamment sécurisé, une personne malveillante pourrait alors avoir accès à des informations telles que les plages horaires durant lesquelles l’usager est absent de son logement, celles pendant lesquelles il dort ou encore les types d’appareils utilisés. Les habitudes d’une personne peuvent ainsi être déterminées aisément, ce qui constitue une atteinte à la vie privée. La décision de la Cnil, datée du 20 novembre 2017 et mettant demeure la société Genesis Industries Limited (7), est une autre illustration des risques encourus par l’utilisation des objets connectés notamment au regard de la vie privée. Cette société commercialisait des jouets connectés qui pouvaient interagir avec les enfants. Suite à un contrôle effectué par la Cnil, il a été constaté une absence de sécurisation des jouets (8) qui permettait à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter à l’insu des personnes et d’avoir accès aux discussions échangées dans un cercle familial ou amical (9). L’intrusion dans la vie privée à travers les objets connectés peut ainsi être importante et particulièrement dangereuse lorsqu’il s’agit d’un utilisateur vulnérable tel qu’un enfant mineur.
Pour autant, une réglementation est difficilement applicable aux objets connectés. Tout d’abord, une incompatibilité d’origine des objets connectés avec certains principes relatifs au traitement des données personnelles doit être soulignée.

Proportionnalité, mesure de soi et Big Data
A titre d’exemple, le principe de proportionnalité (10), qui requiert que les données soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, ne peut être satisfait dans le cadre de l’utilisation d’un objet connecté dit quantified-self – c’està- dire un appareil connecté pour la «mesure de
soi ». En effet, le nombre de données collectées sera nécessairement important
pour qu’un service adapté à l’utilisateur puisse être fourni. De même le principe
de conservation limité des données collectées (11) peut difficilement être mis en application dans le cadre d’un service fourni par un objet connecté. En effet, la conservation des données pour une durée indéterminée représente souvent une opportunité pour les fabricants dans le cadre du Big Data.
Aujourd’hui, en vertu de la loi « Informatique et Libertés », une obligation d’information pèse sur les responsables de traitement (12). De même, en vertu du Code de la consommation, une obligation pré-contractuelle d’information pèse sur le professionnel qui propose un bien ou un service (13). L’utilisateur d’un objet connecté doit ainsi pouvoir avoir des informations claires et précises sur le traitement de ses données, mais également sur les caractéristiques de l’objet connecté.

Loi française et règlement européen
Or, la récente assignation de deux plateformes majeures dans le monde numérique
– notamment sur le fondement de pratiques commerciales trompeuses au motif d’un nonrespect de l’obligation précontractuelle d’information dans le cadre de la vente d’objets connectés (14) – souligne les difficultés relatives à l’information des utilisateurs. L’avis de 2014 du G29, le groupe qui réunit les « Cnil » européennes, sur les objets connectés illustre également le manque d’informations des utilisateurs sur le traitement de leurs données (15). Ainsi, bien qu’une réglementation protectrice des utilisateurs d’objets connectés soit applicable, celle-ci est difficilement mise en oeuvre. De cet obstacle découle la question de la validité du consentement de l’utilisateur. Si le droit
à l’autodétermination informationnelle – droit pour toute personne de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la loi « Informatique et libertés » – a été récemment affirmé en France, son effectivité au regard des objets connectés semble moindre.
En effet, même si au moment de l’activation de l’appareil le consentement à la collecte de certaines données est recueilli auprès de l’utilisateur, il convient de souligner que
par la suite des données sont délivrées de manière involontaire. Par exemple, dans le cadre d’une montre connectée, l’utilisateur consent à la collecte de données relatives au nombre de pas qu’il effectue au cours de la journée. Mais lors de cette collecte, le responsable de traitement peut également avoir accès à d’autres données telles que celles relatives à la géolocalisation de l’utilisateur. En ce sens, le consentement recueilli n’est pas toujours éclairé et le droit à l’autodétermination informationnelle n’en sera qu’affaibli. Ainsi, la protection de l’utilisateur d’un objet connecté semble moindre. L’applicabilité du règlement européen sur la protection des données personnelles le
25 mai prochain – règlement dit RGPD pour « règlement général sur la protection des données » (16) – permet d’envisager une amélioration de la protection des utilisateurs d’objets connectés sur plusieurs points. Tout d’abord, par l’exigence de la mise en place de mesures permettant d’assurer une protection de la vie privée par défaut et dès la conception de l’objet connecté, le fabricant sera amené à prendre en compte les questions relatives à la vie privée de l’utilisateur en amont d’un projet (17). De même, les nouvelles mesures de sécurité devant être prises, tant par les responsables de traitement que les sous-traitants (par exemple, la pseudo-nymisation, les tests d’intrusion réguliers, ou encore le recours à la certification), tendront à garantir une meilleure protection des données personnelles des utilisateurs (18). Ensuite, la mise
en place de nouveaux droits pour l’utilisateur tels que le droit d’opposition à une mesure de profilage (19), le droit d’effacement des données pour des motifs limitativement énumérés (20) ou encore le droit à la portabilité des données (disposition déjà introduite par la loi « République numérique » du 7 octobre 2016 dans le Code de la consommation aux articles L. 224-42-1 et suivants) consolideront les moyens conférés aux utilisateurs d’objets connectés pour protéger leur vie privée. Il convient de souligner que cette amélioration dépend tout de même d’une information effective de l’utilisateur. En effet, si le fabricant ou le distributeur de l’objet n’informe pas l’utilisateur des différents droits dont il dispose, il semble peu probable que les utilisateurs les moins avertis agissent. Enfin, si la question de l’applicabilité de la réglementation européenne pour les acteurs situés en dehors de l’Union européenne (UE) pouvait se poser notamment lorsqu’ils collectaient des données d’utilisateurs européens, celle-ci n’aura plus lieu d’être à compter du 25 mai 2018. En effet, tout responsable de traitement ou sous-traitant qui n’est pas établi dans l’UE dès lors qu’il collectera des données personnelles de personnes se trouvant sur le territoire de l’UE sera contraint de respecter la réglementation européenne relative aux données personnelles. Ce point est important puisque dans le cadre des objets connectés, souvent, les flux de données ne connaissent pas de frontières.

Gagner la confiance du public
L’équation objets connectés, vie privée et données personnelles est par définition difficile. La révélation massive et constante de données relatives à une personne implique nécessairement une intrusion importante et parfois non voulue dans la vie des utilisateurs. Cependant, l’existence d’un arsenal juridique tant en droit français qu’en droit européen permet de limiter les impacts négatifs générés par les objets connectés. D’ailleurs il convient de noter que, dans le récent cadre de la réécriture de la loi
« Informatique et Libertés », la commission des lois a adopté un amendement permettant à une personne concernée d’obtenir réparation au moyen d’une action
de groupe du dommage causé par un manquement du responsable de traitement
ou sous-traitant aux dispositions de cette loi. Finalement, dans un marché hautement concurrentiel, les objets connectés qui survivront seront ceux qui auront su gagner la confiance du public et présenteront le plus de garanties en matière de respect à la vie privée et de sécurité. @

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.

 

La Commission européenne est décidée à favoriser, tout en l’encadrant, l’économie de la data

Dans une communication publiée le 10 janvier 2017, la Commission européenne prévoit de favoriser – tout en l’encadrant – le commerce des données numériques. Cette régulation de la data suppose notamment de réviser dès
cette année la directive de 1996 sur la protection des bases de données.

L’année 2017 sera placée sous le signe de la data. La Commission européenne veut encadrer l’exploitation des données dans une économie de plus en plus numérique.
La communication qu’elle a publiée le 10 janvier, sous le titre
« Construire une économie européenne de la donnée » (1), devait être rendue publique en novembre. Finalement, elle
l’a été avec deux mois de retard et fait l’objet d’une vaste consultation publique – jusqu’au 26 avril prochain.

Une loi européenne d’ici juin 2017 ?
Ces nouvelles règles sur la data utilisée à des fins commerciales doivent mieux encadrer la manière dont les entreprises s’échangent des données numériques entre elles pour développer leur chiffre d’affaires et générer des pro f i t s . I l s’agit d’év i ter que les consommateurs – internautes et mobinautes – soient pris au piège d’accords d’utilisation qu’ils ne pourraient pas refuser, donnant ainsi implicitement à d’autres entreprises que leur fournisseur numérique l’accès à leurs données personnelles. Toutes les entreprises sont potentiellement concernées. Si la communication n’a pas de caractère contraignant, la Commission européenne se réserve la possibilité de légiférer si les entreprises n’appliquaient pas ses suggestions sur le partage de données. Andrus Ansip (photo), viceprésident de la Commissaire européen en charge du Marché unique numérique et – depuis le 1er janvier 2017 – de l’Economie et de la Société numériques (2), a déjà laissé entendre qu’un texte législatif sur la propriété des données et l’accès à ces données pourrait être proposé d’ici juin 2017.
Tous les secteurs de l’économie – industries, services, e-commerce, … – sont en ligne de mire. Déplorant l’absence d’étude d’impact, un cabinet d’avocats (Osborne Clarke)
a recommandé à la Commission européenne de ne pas se précipiter à édicter une nouvelle loi. De nombreux secteurs économiques craignent cette régulation de la data et la perçoivent comme un frein à leur développement. Par exemple, dans l’industrie automobile, l’Association européenne des constructeurs d’automobiles (3) a fait savoir lors d’une conférence à Bruxelles le 1er décembre dernier sur le thème de
« Smart cars: Driven by data » que les données des conducteurs appartenaient aux constructeurs, lesquels pouvaient les vendre à d’autres entreprises. Au moment où la voiture connectée et/ou autonome démarre sur les chapeaux de roue, les industriels
de l’automobile entendent garder la maîtrise des données collectées et leur exploitation comme bon leur semble. Or la Commission européenne souhaite au contraire ne pas laisser faire sans un minimum de règles communes et en appelle à des expérimentations comme dans le cadre du programme CAD (Connected and Autonomous Driving). Les autres secteurs ne sont pas en reste. Cela concerne aussi
le marché de l’énergie (comme les compteurs intelligents), le domaine de la maison connectée, la santé ou encore les technologies financières. En outre, le potentiel de l’Internet des objets (des thermostats aux lunettes connectées), des usines du futur ainsi que de la robotique connectée est sans limite et le flux de données en croissance exponentielle.
Alors que la data constitue plus que jamais le pétrole du XXIe siècle, tant en termes d’économie de marché, de création d’emplois et de progrès social, elle est devenue centrale. L’économie de la donnée est créatrice de valeur pour l’Europe, avec 272 milliards d’euros de chiffre d’affaires généré en 2015 – soit 1,87 % du PIB européen.
Ce montant pourrait, selon les chiffres fournis par la Commission européenne, pourrait atteindre 643 millions d’euros d’ici 2020, soit 3,17 % du PIB européen (4).

Encadrer sans freiner l’innovation
La communication « Construire une économie européenne de la donnée » veut donner une impulsion à l’utilisation des données à des fins lucratives, tout en l’encadrant, sans attendre l’entrée en vigueur à partir du 25 mai 2018 de la nouvelle réglementation européenne sur la protection des données (5). Mais la Commission européenne ne veut pas non plus freiner les Vingt-huit dans le développement de l’économie de la donnée et creuser un peu plus l’écart avec les Etats- Unis. Aussi, voit-elle dans la régulation de la data une manière de contribuer au développement du marché unique numérique en donnant un accès le plus large aux bases de données – au Big Data – et en empêchant les barrières à l’entrée au détriment des nouveaux entrants et de l’innovation. Objectif : favoriser la libre circulation des données au sein de l’Union européenne, ainsi que la libre localisation de ces données dans des data centers, sans que ces échanges et ces stockages se fassent au détriment des consommateurs et de leur libre arbitre. Il s’agit aussi d’éviter la fragmentation du marché unique numérique par des réglementations nationales différentes selon les pays européens. La data se retrouve au cœur du marché unique numérique, que cela soit en termes de flux libres, d’accès, de transfert, de responsabilité, de sécurité, de portabilité, d’interopérabilité et de standardisation.

Pour la libre circulation des données
Dans sa communication « Construire une économie européenne de la donnée », dont un draft était disponible en ligne depuis décembre dernier, Bruxelles réaffirme la libre circulation des données (free flow of data) au sein de l’Union européenne et s’oppose aux barrières réglementaires numériques telles que l’obligation de localiser les données dans le pays concerné (6). Dans le prolongement de sa communication, la Commission européenne discutera avec les Etats membres sur les justifications et la proportionnalité des mesures réglementaires de localisation des données, ainsi que de leurs impacts sur notamment les petites entreprises et les start-up. Bruxelles est prêt à durcir le ton en cas de localisation abusive des données.
Partant du principe que les données peuvent être personnelles ou non personnelles, il est rappelé que la réglementation de 2016 sur la protection des données personnelle (en vigueur à partir de fin mai 2018), s’applique aux premières. Et quand un appareil connecté génère de la donnée qui permet d’identifier une personne, cette donnée est considérée comme étant à caractère personnel jusqu’à ce qu’elle soit anonymisée.
Or, constate la Commission européenne, l’accès aux données au sein des Vingt-huit est limité. La plupart des entreprises utilisant une grande quantité de données le font en interne. La réutilisation des données par des tiers ne se fait pas souvent, les entreprises préférant les garder pour elles-mêmes. De plus, beaucoup d’entreprises n’utilisent pas les possibilités des API (Application Programming Interfaces) qui permettent à différents services d’interagir avec d’autres en utilisant les données extérieures ou en partageant les siennes. Peu d’entreprises sont en outre équipées d’outils ou dotées de compétences pour quantifier la valeur économique de leurs données.
Quant au cadre réglementaire, au niveau européen ou à l’échelon national, il ne les incite pas à valoriser leur capital data. S’il y a bien le nouveau règlement sur la protection des données personnelle, les données brutes impersonnelles produites
par les machines échappent à l’actuel droit sur la propriété intellectuelle faute d’être
« intelligentes ». Tandis que la directive européenne du 11 mars 1996 sur la protection juridique des bases de données permet, elle, aux auteurs de bases de données le droit d’empêcher l’extraction et/ou la réutilisation de tout ou partie de leurs bases de donnés. Sans parler de la nouvelle directive européenne sur le secret des affaires, à transposer par les Etats membres d’ici juin 2018, qui limite l’accès à certaines informations capitales pour l’entreprise. Difficile de s’y retrouver dans ce dédale de textes législatifs. Un cadre réglementaire plus lisible et compréhensible est donc nécessaire, aux yeux de la Commission européenne, pour les données générées par les machines et les objets connectés, sur leur exploitation et leur traçabilité. Faute de quoi, l’économie de la data continuera de relever le plus souvent de relations contractuelles. Or, Bruxelles estime que cela ne suffit pas et qu’il faut un cadre adapté pour les nouveaux entrants et éviter les marchés verrouillés. Ceux que la Commission européenne appelle les propriétaires de facto de données que leurs écosystème génère ont un avantage compétitif sur leur marché, surtout en l’absence de réglementation ou de cadre juridique appropriés.

Afin que les réglementations nationales différentes ne s’imposent au détriment d’une harmonisation communautaire et des services de données transfrontaliers, une législation sur l’accès aux données pourrait voir le jour en Europe afin : d’encadrer le commerce de données générées par les appareils connectés, de faciliter et d’inciter
au partage de telles données, de protéger les investissements et les actifs, d’éviter la divulgation de données sensibles ou confidentielles, et de minimiser les effets de blocage (lockin) dans l’accès aux données.
La Commission européenne prévoit notamment : de réviser en 2017 la directive
« Bases de données » de 1996, de favoriser le développement les API pour faciliter
la création d’écosystèmes numériques, d’édicter des contrats-type portant sur l’exploitation de données, de contrôler les relations contractuelles B2B (7) et d’invalider des clauses abusives, de donner accès aux données d’intérêt général ou issues des services publics (8), d’instaurer un droit des producteurs de données à accorder des licences d’utilisation de ces données, et, enfin, de donner accès à la data contre rémunération.

Responsabilité et assurance
La responsabilité juridique liée à l’exploitation de toutes ces données devra aussi être clarifiée – quitte à envisager la révision de la directive européenne de 1985 sur la responsabilité du fait des produits défectueux (9) – pour prendre en compte les nouveaux écosystèmes tels que l’Internet des objets ou encore la voiture autonome, sans parler des implications au niveau des assurances. @

Charles de Laubier

En voulant devenir « le premier GAFA européen », SFR veut lui aussi tirer partie de la data et de la pub

Michel Combes veut faire croire que l’opérateur télécoms SFR, dont il est le PDG, va devenir « le premier GAFA européen » ! « Un peu ambitieux », concède-t-il. Mais en investissant dans les contenus, il se donne les moyens d’accéder aux données de ses millions de clients monétisables par la publicité.

« L’alternative pour les opérateurs télécoms est simple : se cantonner au rôle de fournisseur de tuyaux dans lequel on essaie de nous inciter à rester, ou bien dépasser ce rôle originel pour être pourvoyeurs de services nous mêmes et en quelque sorte devenir “les nouveaux GAFA” du monde qui s’ouvre afin de renouer avec
la croissance. C’est le dilemme stratégique », a exposé Michel Combes (photo), président du groupe SFR, lors du colloque organisé le 31 mai par NPA Conseil sur le thème de « Vers le meilleur des deux mondes ».

SFR va importer en France les pratiques de publicités ciblées de Cablevision, câbloopérateur américain que
vient de racheter sa maison mère Altice.

Triptyque télécoms-médias-publicité
« Nous avons donc décidé de donner le coup d’envoi en France à une convergence entre les télécoms et les médias ou les services numériques, en positionnant clairement le nouveau groupe SFR comme le premier GAFA européen. C’est peut-être un peu ambitieux… », a-t-il poursuivi. La filiale télécoms d’Altice, holding du milliardaire Patrick Drahi, tente ainsi de mettre en place un triangle vertueux, en se positionnant sur trois ingrédients qu’elle estime essentiels : l’accès (le métier de base de SFR, fixe ou mobile totalement convergents), les contenus et services numériques (pour se différencier), la publicité, dont celle ciblée, en regroupant les régies (télévision, presse et digitale). « Il s’agit de construire dans les mois à venir un distributeur de contenus, mais surtout un acteur télécoms-médias-publicité », a-t-il résumé. En se positionnant résolument comme un GAFA, l’opérateur télécoms SFR est décidé à essayer de se battre à armes égales avec Google, Apple, Facebook, Amazon et les autres acteurs du numérique. Le nerf de la guerre réside dans le Big Data que la publicité en ligne permet de monétiser. « Quand Verizon achète AOL [en mai 2015 pour 4,4 milliards de dollars, ndlr] ou s’intéresse à Yahoo comme AT&T, c’est pour aller chercher de nouvelles compétences – notamment dans le domaine de la publicité ciblée, avec ce vieux rêve qu’un jour les opérateurs télécoms devraient rerentrer sur le marché de la publicité digitale », a justifié Michel Combes. Selon cet ingénieur X-Télécom (Polytechnique et Ecole nationale supérieure des télécommunications), « il n’y a pas de fatalité à ce que ce marché reste exclusivement aux mains des acteurs du numériques, alors même que les opérateurs télécoms concentrent entre leurs mains les portefeuilles de clients très importants, des audiences immenses qu’ils n’ont pas su jusqu’à présent monétiser ». Le groupe SFR compte 17 millions d’abonnés mobile et 6,3 millions dans le fixe. Mais de l’aveu même de Michel Combes, les données qu’ils représentent restent sous-exploitées. « Pour un opérateur télécoms, c’est difficile d’avoir accès à ces données car ses clients n’en voient pas la finalité ni l’intérêt. Alors que lorsque vous êtes un acteur de contenus, ils vont vous les donner. Donc, le fait d’être dans le contenu nous donne accès aussi aux data. (…) Nous avons besoin de la data individuelle du client », a-t-il indiqué. A ce propos, il se dit convaincu que « seuls des modèles d’opt-in fonctionneront à terme, c’est-à-dire que nous ne pourrons pas – et c’est peut-être un bien – utiliser les données des clients sans sa décision de nous donner accès à ses données ».

Une autre raison d’entrer dans le contenu est que cela donne à l’opérateur télécoms l’accès à un inventaire de publicités, c’est-à-dire aux espaces publicitaires disponibles sur les différents médias en ligne (sites web, applications mobile ou réseaux sociaux). SFR, dont la maison mère Altice finalise d’ici fin juin le rachat du câblo-opérateur américain Cablevision pour 17,8 milliards de dollars, compte importer en France les pratiques de publicités ciblées d’outre- Atlantique. « Les câblo-opérateurs aux Etats-Unis ont historiquement eu accès à une partie de l’inventaire publicitaire des programmes audiovisuels qu’ils distribuent. Une partie de leurs recettes n’est pas liée
à l’accès mais à la publicité. Ces opérateurs de télédistribution ont ainsi réfléchi à des modèles économiques un peu nouveaux pour mieux monétiser leurs audiences. Cablevision a lancé des activités de publicités ciblées, individualisées, sur l’écran
de télévision », a constaté le patron de SFR. Ainsi, aux Etats-Unis, le broadcast
se retrouve avec des schémas assez similaires à ceux de l’Internet : meilleure monétisation des publicités, avec la complétude des réseaux, la géolocalisation et
la capacité de comprendre les usages des téléspectateurs.

Accéder à l’inventaire publicitaire « Nous souhaitons amener ces briques technologiques en France, où nous n’avons pas accès à cet inventaire de publicité. C’est une des raisons de rentrer dans le contenu, car cela nous donne en fait un inventaire publicitaire ». En regroupant les régies publicitaires de la télévision (BFM TV, BFM Business, News24, …), de la presse (Libération, L’Express, …) et du digital (sites web, applis mobile, …), SFR veut tenir tête au GAFA en étant « GAFA » lui-même. @

Charles de Laubier

Chômage et inégalités : la face cachée du numérique

En fait. Du 20 au 23 janvier, s’est tenu à Davos le 46e Forum économique mondial (World Economic Forum) sur le thème cette année de « la 4e révolution industrielle » (numérique, biotechnologie, robotique, intelligence artificielle, …), dont Internet est le catalyseur. Rime-t-elle avec chômage et inégalités ?

En clair. Après la première révolution industrielle (machine à vapeur, transports), la deuxième (électricité, travail à la chaîne), la troisième (numérique, électronique), voici que la quatrième révolution industrielle apparaît comme un cocktail explosif et disruptif mêlant digital, robotique, nanotechnologies, génétique, biotechnologie, intelligence artificielle, impression 3D, Internet des objets, apprentissage automatique (machine-learning), véhicules autonomes, ou encore Big Data. Première conséquence majeure pour le commun des mortels : toutes ces innovations convergentes pourraient provoquer au cours des cinq prochaines années la perte nette de 5,1 millions d’emplois dans quinze pays représentant 65 % de la main d’oeuvre mondiale, selon les prévisions alarmistes du rapport « The Future of Jobs » (1) publié le 18 janvier par le Forum économique mondial. En fait, la perte atteindrait 7,1 millions emplois s’il n’y avait pas
2 millions de nouveaux postes créés dans ces quinze pays (2) – cela ne fait guère
plus que 133.333 créations d’emplois en moyenne dans chacun de ces pays. C’est finalement très peu et pour le moins décevant – pour ne pas dire inquiétant – pour
une quatrième révolution industrielle qui nous promet tant depuis des années. Le tout numérique et le tout-robotique risquent de généraliser le chômage de masse, ce
qui ne manquerait pas d’accentuer les inégalités déjà criantes et de creuser encore
plus le fossé entre les (très) riches et les (très) pauvres – pays et/ou individus. Publié
le 18 janvier, soit l’avant-veille de la réunion de Davos, le rapport « An Economy for the 1%» (3) de la confédération internationale Oxam (nom venant d’Oxford Committee for Relief Famine, ONG fondée en Grande-Bretagne en 1942) démontre que les 62 personnes les plus riches au monde possèdent désormais à elles seules autant que
les 3,5 milliards de personnes les plus pauvres, lesquels constituent la moitié de la population mondiale !

Et ce n’est pas fini : une autre étude de Forum économique mondiale estime que la transformation digitale des industries dans le monde (4) pourrait générer de la « valeur combinée » entre industrie et société à hauteur de 100 trillions de dollars sur les dix prochaines années, soit 100.000 milliards de dollars ! Mais cette transformation digitale massive présentent des risques, s’alarme l’étude. Nous sommes prévenus. @

Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @

La météo des livres

L’auteur solitaire, sortant de sa retraite pour affronter le tumulte des grands salons du livre de Francfort ou de Paris, est une image qui a survécu à cette décennie de dématérialisation accélérée du support papier. L’industrie du livre, même numérique, a plus que jamais besoin de ces grand-messes commerciales pour toujours plus médiatiser et mettre en scène leurs auteurs. Les écrivains continuent à cette occasion de signer des autographes, sur des photos, des tirés à part ou, parfois, sur les pages de leur dernier bouquin qu’ils prennent sur des piles, ces piles que l’on ne voit plus guère qu’à cette occasion. C’est pour eux, aujourd’hui comme hier, l’occasion de rencontrer son mystérieux lecteur. Ce dernier n’est plus si mystérieux que cela d’ailleurs, en tout cas pour l’éditeur qui dispose désormais d’une masse d’informations inégalée sur ses lectorats.

« La dématérialisation des livres a fait entrer
le monde de l’édition dans l’ère du Big Data,
des métadonnées et de la recommandation. »

Car pour cette industrie culturelle comme tant d’autres, les données sont la matière première qui a permis de régénérer des modèles économiques devenus moribonds à l’ère du numérique. La dématérialisation correspond bien sûr au déclin du livre imprimé sur du papier et, en même temps, à l’entrée du monde de l’édition dans l’ère du Big Data et des métadonnées. Les maisons d’éditions n’ont désormais plus seulement
les yeux rivés sur les chiffres de ventes et la gestion des stocks, car celles qui ont su rebondir sont désormais des virtuoses de l’analyse des données. Leurs lecteurs sont devenus des sources permanentes d’information précieuses, qui se mesurent en termes d’engagement : c’est-à-dire en rapprochant les ventes de l’achèvement effectif des lectures. Les lecteurs d’aujourd’hui ont dû s’habituer à ce que leurs éditeurs lisent par-dessus leur épaule ! Ils savent désormais exactement non seulement ce que vous avez acheté, mais également si vous avez terminé l’ouvrage, l’endroit où vous vous êtes arrêtés et à quelle vitesse vous l’avez lu… Le tout enrichi des lieux, du mois, du jour et des heures de lecture vous concernant, sans oublier le temps qu’il fait… C’est ainsi qu’une véritable météo de l’édition a vu le jour, permettant de prédire le recul des ventes d’un auteur à succès dont le taux d’engagement baisse livre après livre. De même les data scientists de l’édition prétendent pouvoir annoncer les prochains bestsellers. Ces livres prometteurs sont ceux qui aujourd’hui se vendent encore peu mais qui bénéficient d’un taux d’engagement maximal et qui disposent en plus de recommandations enthousiastes sur les médias sociaux. Une batterie de critères aident les éditeurs à négocier les droits, à investir sur leurs nouveaux champions, à choisir ceux qu’il vaut mieux abandonner et lesquels il vaudrait mieux traduire en priorité.
Tout cela, c’est sans oublier les publicités optimisées qui se cachent au détour d’une page de livre pour une partie du catalogue désormais gratuit – à condition bien entendu d’accepter ces bannières et ces vidéos qui viennent interrompre, un moment, le cours de la lecture. Sinon, pour ceux qui ne veulent pas de ces intrusions publicitaires, le paiement à l’acte ou à l’abonnement illimité prend le relais.
Face aux géants du Net qui ont déjà pris les positions-clés leur permettant de se glisser entre les éditeurs et leurs lecteurs, quitte à confisquer au passage les précieuses données, les éditeurs traditionnels tentent de survivre : du moins ceux qui se sont organisés pour maintenir un lien étroit entre leurs auteurs et leurs lecteurs. Le succès futur d’un écrivain ne pouvant malgré tout pas se réduire en algorithmes ou métadonnées, il reste encore une place pour les découvreurs de talents, qui les couvent, les accompagnent durant le long parcours allant de l’idée initiale jusqu’à l’achèvement d’une oeuvre, qu’elle soit imprimée ou numérique, lue ou de plus en plus écoutée.
C’est sans doute une raison parmi d’autres, tout comme la nostalgie, qui fait qu’aujourd’hui encore, lorsque l’on veut lire en cachette comme cela s’est toujours fait, on recourt à des applications garanties sans mouchard ou à des fichiers pirates…
La lecture dématérialisée et sociale – les ebooks étant capables de nous permettre de partager avec d’autres lecteurs connectés – ne nous a cependant pas fait oublier nos bons vieux livres imprimés, ceux que l’on dévorait sous l’édredon à la lumière d’une lampe de poche. @

Jean-Dominique Séval*
Prochaine chronique « 2025 » : Marché unique numérique
* Directeur général adjoint de l’IDATE, auteur du livre
« Vous êtes déjà en 2025 » (http://lc.cx/Broché2025).

Cloud TV everywhere

Les nuages, c’est bien connu, ne se préoccupent que rarement des frontières. Les nuages informatiques,
comme les nuages radioactifs en leur temps, ont une fâcheuse tendance à se jouer des contrôles et des barrières dérisoires que tentent de dresser des administrations dépassées par ces phénomènes atmosphériques. Pas plus que l’invasion des magnétoscopes japonais n’avait pu être arrêtée – lorsqu’en 1982 Laurent Fabius, alors Premier ministre, promulgua
un arrêté pour contraindre les importateurs à ne plus dédouaner leurs magnétoscopes dans les ports mais au centre de la France, à Poitiers –, l’évolution des nouvelles formes de diffusion de la télévision ne put être stoppée. Edifier des lignes Maginot mobilise inutilement une énergie précieuse, lorsqu’on en a tant besoin pour la nécessaire modernisation des activités audiovisuelles françaises et européennes.
On connaissait pourtant le point de départ, notre télé traditionnelle, et le point d’arrivée, une consommation de vidéo aujourd’hui banalisée sur tous nos terminaux en tout lieu
et à tout moment. Entre les deux, plus de dix ans de mutation que certains ont vécue comme un véritable chaos. Avant que le Cloud TV ne s’impose, de multiples solutions ont été proposées. Les boîtiers de type media gateways ont d’abord permis aux opérateurs, comme Free ou Sky TV, de proposer des terminaux qui, bien qu’onéreux, permettaient de répondre aux nouveaux usages : interface enrichie, VOD, PVR, hybridation IP, distribution multi-terminaux, … D’autres, comme le pionnier américain des magnétoscopes numériques Tivo ou l’opérateur satellite SES, proposaient des boîtiers avec des fonctionnalités de déport de lieu de consommation TV ou de multiécrans. Ils furent ensuite intégrés aux media gateways.

« Les usages ‘TV everywhere’ bénéficient maintenant
de la puissance du Big Data pour personnaliser
la télé et la publicité. »

D’autres pistes furent explorées, à l’articulation entre les « box » et l’Internet. Les solutions hybrides de services audiovisuels ont été envisagées telles qu’un outil permettant de distribuer de la télévision linéaires et à la demande, avec le recours
au réseau Internet (IP) et à un boîtier ou un téléviseur connecté. Ces offres se sont particulièrement développées sous l’impulsion des opérateurs broadcast, soutenues notamment par la norme HbbTV en Europe, trouvant là un moyen de pallier leur défaut d’interactivité. Ce fut également le cas de l’alliance RVU, dont la solution TV multiposte, sans décodeur additionnel, permit à DirecTV de présenter début 2014 une interface utilisateur basée sur le cloud. Autant d’initiatives qui démontraient que les frontières entre TV et Internet ne cessaient de s’estomper.

Le Cloud TV s’est donc imposé, par paliers, grâce à la relative simplicité d’une solution proposant ces services à partir d’une plateforme centrale connectée à Internet et touchant l’ensemble des terminaux des utilisateurs. Les usages « TV everywhere » bénéficient maintenant de la puissance du Big Data pour personnaliser la télé et la publicité, avec un gain appréciable en termes de coûts et de gestion des applications. Et finies les contraintes de câblages, de réseaux et de terminaux : les acteurs de la télévision ont désormais moins besoin d’investir (en Capex) dans des infrastructures
et équipements, dont les décodeurs coûteux ; ils se basent sur un modèle (en Opex)
de facturation à la demande. Nous sommes donc bien entrés dans le monde de la
« TV as a service », voire d’« Operator as a service » pour les distributeurs en quête
de souplesse opérationnelle. Si la généralisation du Cloud TV a pris du temps, c’est essentiellement en raison de la nécessité de faire face à l’encombrement des réseaux confrontés à l’inéluctable montée en qualité des flux vidéo : 4K, 3D, HD et maintenant ultra-HD. L’abaissement des barrières à l’entrée pour la distribution vidéo a permis en outre à tous les acteurs en amont de la chaîne TV « broadcast » de se distribuer à grande échelle via des plateformes, les libérant ainsi des contraintes historiques de couvertures réseau, de terminaux ou de géographie. Mais le Cloud TV a surtout ouvert la porte aux géants de l’Internet et aux nouveaux modes d’auto-distribution, désormais en concurrence directe avec les assembleurs et les distributeurs de programmes de télévision. @

Jean-Dominique Séval*
Prochaine chronique « 2025 » : Monnaie du futur
* Directeur général adjoint de l’IDATE,
auteur du livre « Vous êtes déjà en 2025 » (http://lc.cx/b2025).
Sur le même thème, l’institut a publié sur le rapport
« Cloud TV : Game changer de la distribution TV »,
par Jacques Bajon.