La Commission européenne 2019-2024 part en quête d’un « leadership numérique » face aux GAFA et aux BATX

Entre le marteau des géants américains de l’Internet et l’enclume de leurs homologues chinois, la nouvelle Commission européenne, présidée par Ursula von der Leyen et installée depuis le 1er décembre, va tenter de s’imposer dans le monde numérique. Pas moins de quatre commissaires ont le digital au coeur de leurs attributions.

C’est d’abord sur les épaules de la Danoise Margrethe Vestager (photo) que repose la charge de faire « une Europe préparée à l’ère numérique ». Cet objectif est justement le libellé de ses attributions au sein de la nouvelle Commission européenne, dont elle a été nommée viceprésidente exécutive. Très redoutée des GAFA qu’elle a mis pour certains à l’amende lorsqu’elle était commissaire européenne en charge de la concurrence (2014-2019), la voici en haut de l’affiche dans cette Commission « Leyen » qui remplace la Commission « Juncker » et qui a pris ses quartiers à Bruxelles depuis le 1er décembre pour un mandat de cinq ans (2019-2024). Margrethe Vestager devra composer avec trois autres commissaires européens qui auront eux aussi affaire avec la stratégie digitale du Vieux Continent : la Bulgare Mariya Gabriel qui se retrouve avec le portefeuille « Innovation et Jeunesse » (après avoir été auparavant en charge de l’Economie et de la Société numériques), le Français Thierry Breton qui fait son entrée à Bruxelles avec la responsabilité du Marché intérieur, et le Belge Didier Reynders qui est aussi un nouveau venu pour prendre en charge la Justice.

Vers une nouvelle « loi sur les services numériques »
La réussite ou pas de « l’Europe digitale » dépend donc de ce « quadriumvirat » où chacun a de près ou de loin le numérique dans son portefeuille. « La transition numérique aura des répercussions sur tous les aspects de notre économie et de notre société. Votre tâche consistera à faire en sorte que l’Europe saisisse pleinement le potentiel de l’ère numérique et renforce sa capacité industrielle et d’innovation. Ce sera un élément-clé du renforcement de notre leadership technologique et de notre autonomie stratégique », a écrit la présidente de la nouvelle Commission européenne, Ursula von der Leyen, dans la lettre de mission qu’elle a adressée à Margrethe Vestager. Cela passera par une nouvelle stratégie à long terme pour l’avenir industriel de l’Europe, une maximisation de l’investissement dans la recherche et l’innovation, et une nouvelle stratégie pour les PME et les start-up, « notamment en réduisant la charge réglementaire et en leur permettant de tirer le meilleur parti de la numérisation ». Pour les cent premiers jours du mandat de Margrethe Vestager, la présidente de la Commission européenne lui demande de « coordonner les travaux sur une approche européenne de l’intelligence artificielle (IA), y compris ses Continuer la lecture

Médiamétrie s’apprête à désigner la personne qui succèdera à son PDG Bruno Chetaille, sur le départ

L’institut de mesure d’audience Médiamétrie aura un nouveau président pour ses 35 ans. Bruno Chetaille avait fait savoir, dès fin 2017 à son conseil d’adminis-tration, qu’il souhaitait partir. La personne qui lui succèdera fin mars 2020 va être désignée le 25 septembre prochain. C’est un poste hautement stratégique mais exposé.

La troisième personne qui présidera Médiamétrie, après sa fondatrice Jacqueline Aglietta et son successeur Bruno Chetaille (photo), sera connue dans les prochains jours. « La décision sera prise lors du conseil d’administration de septembre. Le process suit son cours », indique à Edition Multimédi@ Raphaël de Andréis (1), président du comité de nomination de Médiamétrie, dont il est membre du conseil d’administration. Selon nos informations, cette réunion d’intronisation est fixée au 25 septembre. Bruno Chetaille avait signifié dès fin 2017 son souhait de partir. Afin de procéder au recrutement dans la plus grande sérénité et d’assurer le tuilage, la décision avait été prise en juin 2018 de prolonger le mandat de l’actuel PDG jusqu’à fin mars 2020.
Les auditions des candidats se sont déroulées durant cet été devant le comité de nomination par délégation du conseil d’administration, au sein duquel siègent aussi Delphine Ernotte (présidente de France Télévisions), Nicolas de Tavernost (président du directeur du groupe M6), Ara Aprikian (directeur général adjoint de TF1 chargé des contenus), Sibyle Veil (présidente de Radio France), Frank Lanoux (vice-président d’Altice Media) ou encore Jean-Luc Chetrit (directeur général de l’Union des marques).

Nomination scrutée par les clients et coactionnaires
C’est que tout le monde médiatique et publicitaire que compte la France surveille comme le lait sur le feu le processus de désignation du troisième président de cette entreprise, dont les mesures d’audience sont aussi déterminantes pour les grilles des programmes que sensibles pour l’économie publicitaire des chaînes de télévision, des stations de radio, des sites web et même des salles de cinéma.
Chez Médiamétrie, rien ne se fait sans l’aval et le consensus des professionnels des médias, des annonceurs et des agences, dont certains détiennent chacun une participation minoritaire du capital de l’entreprise : côté médias (65 % du capital), Radio France, Europe 1 (Lagardère), SFR Média (Altice), TF1, France Télévisions, l’Ina, Canal+ ou encore M6 ; côté publicité (35 %), l’Union des marques, DDB (Omnicom), Dentsu Aegis, Havas Media, Publicis ou encore FCB. Désigner la personne qui présidera aux destinées d’un Médiamétrie de plus en plus digital, data, global et international nécessite une grande précision, afin de trouver le mouton à cinq pattes capable de relever les défis qui Continuer la lecture

Le marché mondial du cloud est en plein boom, au risque d’échapper aux régulateurs nationaux

Les services de cloud dans le monde devraient franchir cette année la barre des 200 milliards de dollars. Les « as a service » (activité, infrastructure, application, logiciel, …) et les mégadonnées du Big Data font les affaires des prestataires du cloud computing, où les GAFAM s’en donnent à coeur joie.

« Les services en nuage bouleversent vraiment l’industrie.
Les prestataires bénéficient de plus en plus de stratégies cloud-first d’entreprises. Ce que nous voyons maintenant
n’est que le début. D’ici 2022, la croissance de l’industrie
des services infonuagiques sera près de trois fois celle de l’ensemble des services numériques », prévient Sid Nag (photo), vice-président analyste chez Gartner.

Stratégies de cloud-first, voire de cloud-only
Le marché mondial du cloud devrait encore progresser de 17,5 % durant cette année 2019 pour franchir la barre des 200 milliards de dollars, à 214,3 milliards précisément. C’est du moins ce que prévoit le cabinet d’études international Gartner, qui a fait part
de ses projections début avril. Cette croissance exponentielle à deux chiffres a de quoi faire pâlir d’autres secteurs numériques. A ce rythme, après les 200 milliards de dollars franchis cette année, la barre des 300 milliards sera allègrement dépassée en 2022.
Le segment le plus dynamique de ce marché en plein boom est celui du cloud des infrastructures systèmes, appelé IaaS (Infrastructure as a Service), suivi par le cloud des infrastructures d’applications, appelé PaaS (Platform as a Service). La troisième plus forte croissance est aussi celle du premier segment du marché des nuages numériques, à savoir le cloud des services logiciel, appelé SaaS (Software as a Service), qui pèse à lui seul 43,8 % du marché en 2018 et devrait même en représenter 44,6 % en 2022. « D’ici la fin de l’année, plus de 30 % des nouveaux investissements des fournisseurs de technologie dans les logiciels passeront du cloud-firstau cloud-only. Cela signifie que la consommation de logiciels sous licence continuera de chuter, tandis que les modèles de consommation en nuage par abonnement et le SaaS continueront de croître », prévoit Gartner. Les segments du cloud les plus techniques tels que les processus opérationnels, désignés par BPaaS (Business Process as a Service), et le management et la sécurité, désignés a fortiori par MSaaS (Management and Security as a service), continueront de progresser mais dans une moindre mesure par rapport aux autres segments. On retrouve ces tendances d’évolution du marché infonuagiques en France, qui devrait passer de 5,1 milliards de dollars/4,6 milliards d’euros en 2018
à 8,6 milliards de dollars/7,6 milliards d’euros en 2022 (voir tableau ci-dessous). Sur l’Hexagone comme ailleurs, SaaS est le plus gros segment, suivi du BPaaS, de l’IaaS, du PaaS, puis du MSaS.
Selon l’organisme de statistiques européen Eurostat, 26 % des entreprises de l’Union européenne (UE) – soit plus d’une sur quatre – ont acheté des services de cloud computing l’an dernier. La proportion est majoritaire chez les grandes entreprises
(56 %) et bien moindre chez les petites et moyennes entreprises (23 %). La première utilisation qui est faite de ces prestations à distance dans le « nuage informatique » concerne la messagerie électronique (69 %), suivie de près par le stockage des fichiers sous forme dématérialisée (68 %). Viennent ensuite la puissance de calcul achetée pour faire fonctionner leurs propres logiciels (23 %) et l’utilisation de logiciels dans le cloud pour gérer les informations sur la clientèle (29 %).
Pour les entreprises en Europe qui exploitent le Big Data, soit 12 % d’entre elles, les mégadonnées proviennent de sources de données variées : près de la moitié ont d’abord analysé les données de géolocalisation des appareils portables, tels que les smartphones, des connexions sans fil comme le Wifi ou le GPS (49 %). Ensuite, les mégadonnées sont issues des données générées par les médias sociaux et réseaux sociaux (45 %), de dispositifs ou de capteurs intelligents (29 %) ou encore de données provenant d’autres sources (26 %). Si aujourd’hui le Big Data est une expression dépassée par l’IA (l’intelligence artificielle), l’IoT (l’Internet des objets) ou encore la Blockchain, le cloud, lui, prospère tant que les données s’affirment de plus en plus comme le pétrole du XXIe siècle – comme l’a encore montré la 8e édition du Big Data Paris en mars dernier (1).

Amazon et Microsoft en tête, suivis de Google
Le nuage informatique permet aux entreprises de créer un « lac de données », ou Data Lake (stockage des données dans leurs formats originaux ou peu modifiés), à partir duquel l’analyse des données et de leur valorisation peut s’opérer (data mining, marchine learning, business intelligence, cognitive search, master data management, …). Plus de dix ans après que l’expression « Big Data » ait été prononcée – le 22 décembre 2008 dans leur livre blanc (2) par trois chercheurs universitaires de la Computing Research Association américaine –, le cloud est un marché multimilliardaire à la croissance insolente. On estime que le tournant du cloud-first a été pris au cours des années 2013-2016, avec les GAFAM qui se sont engouffrés sur ce marché porteur pour leur plus grand profit. Amazon vient de doubler ses bénéfice grâce au cloud sur le premier trimestre 2019. Sa filiale AWS (Amazon Web Services), qui compte parmi ses clients Apple, Netflix ou encore Pinterest, est le numéro un mondial du secteur. Microsoft arrive en deuxième position grâce à Azure. Google Cloud est aussi à l’offensive avec le Français Sébastien Marotte, son vice-président pour la région EMEA. Le géant du Net compte parmi ses clients européens Airbus, Alstom, Sky, BNP Paribas, Drouot Digital, GRDF, Philips ou encore Veolia (3). L’entrée en vigueur il y a près d’un an en Europe – le 25 mai 2018 – du règlement général sur la protection des données (RGPD) ne semble pas freiner les ardeurs des GAFAM qui ont plus que jamais la tête dans les nuages. « Le “Cloud Act” américain est-il une menace pour les libertés des citoyens européens ? », s’était interrogé l’avocat franco-américain Winston Maxwell dans Edition Multimédi@ après l’affaire controversée « Microsoft » (4). Le Cloud Act fut adopté aux Etats-Unis il y a plus d’un an maintenant (5) – promulgué le 23 mars 2018. Ce texte de loi fédéral et sécuritaire américain prévoit une base juridique permettant
au gouvernement des Etats-Unis de conclure des accords avec des gouvernements étrangers concernant l’accès aux données détenues par les prestataires de services américains, et vice versa. En clair : les autorités publiques et les agences de renseignement américaines sont en droit d’obtenir – des opérateurs télécoms, des fournisseurs d’accès à Internet (FAI) et des fournisseurs de services de cloud – des informations et/ou enregistrements stockés sur leurs serveurs, que ces données et contenus « soient localisés à l’intérieur ou à l’extérieur des Etats-Unis ».

Cloud Act américain et RGPD européen
En outre, ce Cloud Act permet aux Etats-Unis de passer des accords bilatéraux avec d’autres pays, lesquels pourront à leur tour obtenir des informations de la part des fournisseurs de services américains. Or l’article 48 du RGDP dispose que « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Mais dans son amicus brief de 2017 dans l’affaire « Microsoft » (6), la Commission européenne estime que le RGPD tolérait – malgré son article 48 – des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. @

Charles de Laubier

E-démocratie : la révolution numérique détruit-elle ou enrichit-elle la décision collective?

Cette question sera débattue lors du colloque « Quel avenir pour la décision collective en démocratie ? », le 23 novembre 2018 à l’Assemblée nationale (1).
Le digital permet d’envisager une e-démocratie , mais les citoyens doivent être aptes à déjouer les jeux d’influences et d’infox.

Fabrice Lorvo*, avocat associé, FTPA.

La révolution numérique nous invite à repenser la manière dont les « décisions collectives » (2) sont prises au niveau politique. A ce jour, la décision collective s’exerce sous forme de mandat. Les électeurs désignent des représentants à l’Assemblée nationale et aussi un Président qui nomme un gouvernement. Ce mandat est représentatif (c’est-à-dire général, libre et non révocable), mais pas impératif (3).

E-élaboration des décisions et des lois
Ce système trouvait notamment sa justification dans des contraintes d’espace et de temps. Techniquement, il était impossible – puis difficile ou coûteux – de consulter tous les citoyens en même temps. La révolution numérique nous affranchit dorénavant de ces contraintes. On doit dès lors se demander si ces nouvelles capacités techniques sont de nature à justifier une mutation profonde dans la prise de décision collective.
Le numérique est un outil qui permet de renforcer la décision collective. Du point de
vue technique, la miniaturisation et le développement des télécommunications mobiles permet d’envisager la mise en place d’une démocratie numérique (4) dont l’objectif est, par l’utilisation d’Internet, d’accroître et de faciliter une plus large participation des citoyens au processus de décision et d’action politique et, ainsi, d’améliorer la transparence du processus démocratique. Parallèlement, force est de constater qu’au niveau sociologique, l’acceptation par les citoyens d’une décision prise par une autorité au nom de la collectivité est de plus en plus relative. Toute décision ayant un impact sur plusieurs individus n’est aujourd’hui acceptable que si elle a été préalablement exposée et discutée (5). Cette nouvelle aspiration démocratique s’exerce au niveau de l’information sur la décision à prendre, du débat sur son opportunité et sur son périmètre. Il existe aussi de plus en plus de revendications des citoyens pour pouvoir aussi décider directement.
En France, plusieurs initiatives politiques ont été prise en 2017 pour organiser sur Internet une élection primaire ouverte à tous les citoyens (sous certaines conditions), afin de désigner un candidat à l’élection présidentielle (6). Il y a aussi aussi une aspiration grandissante à un processus de rédaction collaborative : des consultations sont notamment organisées par certains parlementaires (7) pour associer les citoyens à la rédaction de leurs propositions de loi. Le stade ultime de cette démocratie numérique étant de pouvoir consulter en temps réel les citoyens sur tous les sujets. Au-delà de l’enthousiasme que suscite le concept de renouvellement démocratique, on doit s’interroger sur les nombreuses contraintes qu’il implique. Parmi elles : la cybersécurité, d’une part, et la participation, d’autre part. L’évolution vers une démocratie numérique n’est concevable que si elle se réalise dans un environnement informatique entièrement sécurisé : ce que l’on voit à l’écran n’est pas forcément la réalité (8).
Il faut en outre s’assurer, pour les votes électroniques, que ceux qui s’expriment ont bien la qualité d’électeurs, et donc qu’ils sont humains. Concernant la participation cette fois, promouvoir la démocratie numérique suppose une confiance dans le bon sens commun et l’intelligence collective. Elle revient aussi à spéculer sur l’envie de la collectivité des citoyens d’y participer, sachant que l’abstention est en hausse constante depuis 1958. Si l’instauration d’une démocratie numérique ne coïncide pas, simultanément, avec une mobilisation citoyenne pour y participer, il est plus que probable que la démarche sera un échec. Au pire, la décision collective ne sera plus que l’expression de la volonté d’une minorité active ou de groupes d’intérêt. Ce renouvellement pose aussi une question socialement difficile à aborder, surtout dans l’environnement narcissique créé par le numérique : tout le monde peut-il ou doit-il avoir un avis sur tout ?

Intérêt général et intérêts particuliers
Les facilités techniques offertes par le numérique sont sans effet sur la complexité du processus d’élaboration d’une décision et notamment d’une loi. Une décision ne peut être prise qu’en considération de contraintes horizontales (une décision qui semble juste dans un domaine ne doit pas avoir pour effet de créer une injustice dans un autre) et de contraintes verticales (une décision doit prendre en considération à la fois notre passé pour des questions de cohérence et l’avenir, à savoir l’intérêt des générations futures). Les facilités précitées sont aussi sans effet sur la technicité de certains sujets qui ne peut être ignorée. Enfin, on doit se demander si tous les sujets peuvent faire l’objet d’une consultation ou d’une décision collective. En principe, les décisions doivent être prises en fonction d’objectifs dictés par l’intérêt général. Or ce dernier n’est pas mathématiquement la somme des intérêts particuliers. Prenons l’exemple du tabac,
qui est probablement l’un des plus grands fléaux de santé publique : pour réduire la consommation, le gouvernement a décidé un train de hausses successives des prix jusqu’en novembre 2020. Cette décision est objectivement pertinente d’un point de
vue social, mais il est peu probable qu’elle aurait fait consensus notamment dans la catégorie des fumeurs si les citoyens avaient été consultés. Certaines décisions doivent donc être prises contre l’intérêt immédiat de leurs bénéficiaires. De la même manière, le caractère d’intérêt général peut être reconnu par les citoyens tout en étant vigoureusement refusée par ceux qui ont à le subir (9).

Influence collective et manipulation
Le numérique est aussi un outil qui permet d’influencer la décision collective. Notre démocratie repose sur le postulat que l’électeur est capable (il sait ce qu’il fait). Cependant, cette capacité peut être fortement altérée par le numérique. Au niveau international, il existe dans l’histoire récente au moins deux cas aux Etats-Unis qui semblent le suggérer : en 2016, des autorités de sécurité intérieure américaines (10) (*) (**) ainsi que le FBI (11) ont dénoncé des interventions du gouvernement russe pour influencer les élections américaines (notamment par les révélations sur les e-mails d’Hillary Clinton publiés sur les sites DCLeaks.com and Wikileaks). Toujours en 2016,
il est prétendu que l’élection de Trump a pu être favorisée par le recours au Big Data. Le candidat Trump a fait appel à la société Cambridge Analytica dont l’activité consiste à fournir aux entreprises et aux mouvements politiques des stratégies et opérations de communication clés-en-main basées sur l’analyse des données à grande échelle. Cette société annonce « utiliser les données pour changer le comportement du public » . Comme l’a reconnu Facebook (12), Cambridge Analytica aurait siphonné les données de 87 millions des utilisateurs du réseau social pour identifier et solliciter dans la société civile américaine le très fort courant anti-élites qui pouvait favoriser l’émergence d’un candidat atypique.
Ces deux événements ont, de manières différentes, participé à influencer la décision collective dans le choix d’un Président en utilisant le numérique. La première a consisté à intervenir auprès de l’opinion publique pour discréditer un candidat par l’information ; la seconde a permis d’identifier et de solliciter des électeurs qui auraient pu être passifs, et ce uniquement en les ciblant à l’aide de leur data. S’agissant de la propagande, il a toujours existé un lien intime entre opinion publique et décision collective. En conséquence, les tentatives d’influence de l’opinion ne sont pas nouvelles. Cependant ces manipulations ont, avec le numérique, une efficacité nouvelle incommensurable du fait de l’immédiateté de la diffusion, de sa mondialité et de son caractère potentiellement viral. En d’autres termes, les outils de propagande devaient, par le passé (13), être fabriqués mais leurs sources permettaient de les identifier. Aujourd’hui, Internet et les réseaux sociaux constituent un espace existant, gratuit et souvent anonyme au niveau de la source. S’agissant des données collectées dans le monde numérique, leur utilisation va exposer notre société à des maux inédits. En effet, en principe, celui qui convoite les suffrages tente de faire adhérer le public à son projet. Aujourd’hui, avec l’analyse du Big Data, ce sont les algorithmes qui vont probablement prédire les convictions à affirmer et les personnes à solliciter.
Que ce soit par les infox (fake news) ou par le profilage avec des data, le numérique rend possible une sollicitation individuelle nouvelle qui permet d’agir sur le comportement des citoyens. Ces démarches semblent permettre l’activation des comportements individuels. Dans son dernier livre (14), l’historien israélien Yuval
Noah Harari parle de possibilité de « pirater les êtres humains ».
En conclusion, il est fort probable que le renouveau démocratique espéré par l’utilisation de l’outil digital aboutisse à un double effet. D’un côté, une amélioration visible de la décision collective par la création d’un lien plus étroit entre le citoyen et son représentant, avec deux types de flux (du représentant vers le citoyen en renforçant la transparence et l’information, et du citoyen vers le représentant pour l’expression d’une opinion). De l’autre, et « en même temps », une altération invisible de la décision collective du fait des interventions sur la volonté des citoyens (en utilisant l’émotion et l’intérêt individuel plutôt que la raison et l’intérêt collectif). L’un des principaux remparts pour lutter contre la manipulation des individus par « l’information », c’est de cultiver l’esprit critique de chaque citoyen et faire de l’éducation au média. Pour ne pas subir demain les effets négatifs de la révolution numérique, il faut plus que jamais investir aujourd’hui et massivement dans l’Ecole de la république. Nous commençons aussi à payer très cher la démarche de gratuité des médias, accélérée par le numérique. S’il n’est pas contestable que la presse soit « le chien de garde » de la démocratie, il faudrait rapidement réapprendre « à nourrir le chien ».

Une réflexion éthique s’impose
S’agissant des data, leur traitement de masse va jouer un rôle décisif très prochainement au niveau politique, et donc au niveau de la décision collective. Notre société a pris conscience de l’importance des données, notamment avec le RGPD (15). Il faut aller encore plus loin dans la réflexion sur qui doit contrôler les Big Data – le secteur privé ? L’Etat ? – et jusqu’où peut-on les utiliser ? On doit conserver à l’esprit que nous maîtrisons mal la portée de la nouvelle connaissance que nous apportera le Big Data. Dans l’exploration de ce nouveau monde, les envolées techniques permises par le numérique doivent plus que jamais être contrebalancées par une réflexion éthique. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude menée par Gartner, 20 milliards d’objets connectés seraient en circulation en 2020 (1). Qu’il s’agisse du domaine de la santé, du bien-être, du sport, de la domotique ou encore du loisir, l’attrait des utilisateurs pour les objets connectés est caractérisé. Paradoxalement, bien qu’avertis, ces derniers ne mesurent pas toujours les risques qui pèsent sur leur vie privée et leurs données personnelles. Ces deux notions – vie privée et données personnelles – ne sont pas synonymes, bien qu’intrinsèquement liées (2).

Les exemples de Linky et de Gazpar
La donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » (3). A l’inverse, la vie privée ne trouve pas de définition légale bien que le Code civil consacre un droit au respect de la vie privée (4). Les apports de la jurisprudence permettent aujourd’hui de définir la notion de vie privée comme « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures » (5). Ainsi, si un objet connecté peut porter atteinte aux données personnelles d’un utilisateur (collecte illicite des données personnelles, failles de sécurité permettant aux tiers d’accéder aux données, etc.), il peut également dans une plus large mesure porter atteinte à sa vie privée (captation d’images ou de voix, intrusion dans l’intimité, etc.). L’ubiquité et l’omniprésence des objets connectés dans la vie des utilisateurs conduisent à une collecte permanente et instantanée des données. Par ce biais, de nombreuses informations relatives à la vie privée des utilisateurs deviennent identifiables. D’ailleurs, la divulgation massive de données relatives à la vie privée lors de l’utilisation d’un objet connecté est souvent
une condition sine qua non à l’existence du service proposé par le fabricant. A titre d’exemple, la nouvelle génération de compteurs d’électricité et de gaz, tels que respectivement Linky et Gazpar qui ont fait l’objet d’une communication (6) (*) (**) de la Cnil en novembre 2017, peut collecter des données de consommation énergétique journalières d’un foyer. Si l’utilisateur y consent, des données de consommation plus fines peuvent être collectées par tranche horaire et/ou à la demi-heure. Cela permet d’avoir des informations très précises sur la consommation énergétique de l’usager. Dans l’hypothèse d’un traitement insuffisamment sécurisé, une personne malveillante pourrait alors avoir accès à des informations telles que les plages horaires durant lesquelles l’usager est absent de son logement, celles pendant lesquelles il dort ou encore les types d’appareils utilisés. Les habitudes d’une personne peuvent ainsi être déterminées aisément, ce qui constitue une atteinte à la vie privée. La décision de la Cnil, datée du 20 novembre 2017 et mettant demeure la société Genesis Industries Limited (7), est une autre illustration des risques encourus par l’utilisation des objets connectés notamment au regard de la vie privée. Cette société commercialisait des jouets connectés qui pouvaient interagir avec les enfants. Suite à un contrôle effectué par la Cnil, il a été constaté une absence de sécurisation des jouets (8) qui permettait à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter à l’insu des personnes et d’avoir accès aux discussions échangées dans un cercle familial ou amical (9). L’intrusion dans la vie privée à travers les objets connectés peut ainsi être importante et particulièrement dangereuse lorsqu’il s’agit d’un utilisateur vulnérable tel qu’un enfant mineur.
Pour autant, une réglementation est difficilement applicable aux objets connectés. Tout d’abord, une incompatibilité d’origine des objets connectés avec certains principes relatifs au traitement des données personnelles doit être soulignée.

Proportionnalité, mesure de soi et Big Data
A titre d’exemple, le principe de proportionnalité (10), qui requiert que les données soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, ne peut être satisfait dans le cadre de l’utilisation d’un objet connecté dit quantified-self – c’està- dire un appareil connecté pour la «mesure de
soi ». En effet, le nombre de données collectées sera nécessairement important
pour qu’un service adapté à l’utilisateur puisse être fourni. De même le principe
de conservation limité des données collectées (11) peut difficilement être mis en application dans le cadre d’un service fourni par un objet connecté. En effet, la conservation des données pour une durée indéterminée représente souvent une opportunité pour les fabricants dans le cadre du Big Data.
Aujourd’hui, en vertu de la loi « Informatique et Libertés », une obligation d’information pèse sur les responsables de traitement (12). De même, en vertu du Code de la consommation, une obligation pré-contractuelle d’information pèse sur le professionnel qui propose un bien ou un service (13). L’utilisateur d’un objet connecté doit ainsi pouvoir avoir des informations claires et précises sur le traitement de ses données, mais également sur les caractéristiques de l’objet connecté.

Loi française et règlement européen
Or, la récente assignation de deux plateformes majeures dans le monde numérique
– notamment sur le fondement de pratiques commerciales trompeuses au motif d’un nonrespect de l’obligation précontractuelle d’information dans le cadre de la vente d’objets connectés (14) – souligne les difficultés relatives à l’information des utilisateurs. L’avis de 2014 du G29, le groupe qui réunit les « Cnil » européennes, sur les objets connectés illustre également le manque d’informations des utilisateurs sur le traitement de leurs données (15). Ainsi, bien qu’une réglementation protectrice des utilisateurs d’objets connectés soit applicable, celle-ci est difficilement mise en oeuvre. De cet obstacle découle la question de la validité du consentement de l’utilisateur. Si le droit
à l’autodétermination informationnelle – droit pour toute personne de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la loi « Informatique et libertés » – a été récemment affirmé en France, son effectivité au regard des objets connectés semble moindre.
En effet, même si au moment de l’activation de l’appareil le consentement à la collecte de certaines données est recueilli auprès de l’utilisateur, il convient de souligner que
par la suite des données sont délivrées de manière involontaire. Par exemple, dans le cadre d’une montre connectée, l’utilisateur consent à la collecte de données relatives au nombre de pas qu’il effectue au cours de la journée. Mais lors de cette collecte, le responsable de traitement peut également avoir accès à d’autres données telles que celles relatives à la géolocalisation de l’utilisateur. En ce sens, le consentement recueilli n’est pas toujours éclairé et le droit à l’autodétermination informationnelle n’en sera qu’affaibli. Ainsi, la protection de l’utilisateur d’un objet connecté semble moindre. L’applicabilité du règlement européen sur la protection des données personnelles le
25 mai prochain – règlement dit RGPD pour « règlement général sur la protection des données » (16) – permet d’envisager une amélioration de la protection des utilisateurs d’objets connectés sur plusieurs points. Tout d’abord, par l’exigence de la mise en place de mesures permettant d’assurer une protection de la vie privée par défaut et dès la conception de l’objet connecté, le fabricant sera amené à prendre en compte les questions relatives à la vie privée de l’utilisateur en amont d’un projet (17). De même, les nouvelles mesures de sécurité devant être prises, tant par les responsables de traitement que les sous-traitants (par exemple, la pseudo-nymisation, les tests d’intrusion réguliers, ou encore le recours à la certification), tendront à garantir une meilleure protection des données personnelles des utilisateurs (18). Ensuite, la mise
en place de nouveaux droits pour l’utilisateur tels que le droit d’opposition à une mesure de profilage (19), le droit d’effacement des données pour des motifs limitativement énumérés (20) ou encore le droit à la portabilité des données (disposition déjà introduite par la loi « République numérique » du 7 octobre 2016 dans le Code de la consommation aux articles L. 224-42-1 et suivants) consolideront les moyens conférés aux utilisateurs d’objets connectés pour protéger leur vie privée. Il convient de souligner que cette amélioration dépend tout de même d’une information effective de l’utilisateur. En effet, si le fabricant ou le distributeur de l’objet n’informe pas l’utilisateur des différents droits dont il dispose, il semble peu probable que les utilisateurs les moins avertis agissent. Enfin, si la question de l’applicabilité de la réglementation européenne pour les acteurs situés en dehors de l’Union européenne (UE) pouvait se poser notamment lorsqu’ils collectaient des données d’utilisateurs européens, celle-ci n’aura plus lieu d’être à compter du 25 mai 2018. En effet, tout responsable de traitement ou sous-traitant qui n’est pas établi dans l’UE dès lors qu’il collectera des données personnelles de personnes se trouvant sur le territoire de l’UE sera contraint de respecter la réglementation européenne relative aux données personnelles. Ce point est important puisque dans le cadre des objets connectés, souvent, les flux de données ne connaissent pas de frontières.

Gagner la confiance du public
L’équation objets connectés, vie privée et données personnelles est par définition difficile. La révélation massive et constante de données relatives à une personne implique nécessairement une intrusion importante et parfois non voulue dans la vie des utilisateurs. Cependant, l’existence d’un arsenal juridique tant en droit français qu’en droit européen permet de limiter les impacts négatifs générés par les objets connectés. D’ailleurs il convient de noter que, dans le récent cadre de la réécriture de la loi
« Informatique et Libertés », la commission des lois a adopté un amendement permettant à une personne concernée d’obtenir réparation au moyen d’une action
de groupe du dommage causé par un manquement du responsable de traitement
ou sous-traitant aux dispositions de cette loi. Finalement, dans un marché hautement concurrentiel, les objets connectés qui survivront seront ceux qui auront su gagner la confiance du public et présenteront le plus de garanties en matière de respect à la vie privée et de sécurité. @

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.