Archives par mot-clé : Big Data

Médiamétrie s’apprête à désigner la personne qui succèdera à son PDG Bruno Chetaille, sur le départ

Publié le par

L’institut de mesure d’audience Médiamétrie aura un nouveau président pour ses
35 ans. Bruno Chetaille avait fait savoir, dès fin 2017 à son conseil d’adminis-tration, qu’il souhaitait partir. La personne qui lui succèdera fin mars 2020 va être désignée
le 25 septembre prochain. C’est un poste hautement stratégique mais exposé.

La troisième personne qui présidera Médiamétrie, après sa fondatrice Jacqueline Aglietta et son successeur Bruno Chetaille (photo), sera connue dans les prochains jours. « La décision sera prise lors du conseil d’administration de septembre. Le process suit son cours », indique à Edition Multimédi@ Raphaël de Andréis (1), président du comité de nomination de Médiamétrie, dont il est membre du conseil d’administration. Selon nos informations, cette réunion d’intronisation est fixée au 25 septembre. Bruno Chetaille avait signifié dès fin 2017 son souhait de partir. Afin de procéder au recrutement dans la plus grande sérénité et d’assurer le tuilage, la décision avait été prise en juin 2018 de prolonger le mandat de l’actuel PDG jusqu’à fin mars 2020.
Les auditions des candidats se sont déroulées durant cet été devant le comité de nomination par délégation du conseil d’administration, au sein duquel siègent aussi Delphine Ernotte (présidente de France Télévisions), Nicolas de Tavernost (président
du directeur du groupe M6), Ara Aprikian (directeur général adjoint de TF1 chargé des contenus), Sibyle Veil (présidente de Radio France), Frank Lanoux (vice-président d’Altice Media) ou encore Jean-Luc Chetrit (directeur général de l’Union des marques).

Nomination scrutée par les clients et coactionnaires
C’est que tout le monde médiatique et publicitaire que compte la France surveille comme le lait sur le feu le processus de désignation du troisième président de cette entreprise,
dont les mesures d’audience sont aussi déterminantes pour les grilles des programmes
que sensibles pour l’économie publicitaire des chaînes de télévision, des stations de radio, des sites web et même des salles de cinéma.
Chez Médiamétrie, rien ne se fait sans l’aval et le consensus des professionnels des médias, des annonceurs et des agences, dont certains détiennent chacun une participation minoritaire du capital de l’entreprise : côté médias (65 % du capital), Radio France, Europe 1 (Lagardère), SFR Média (Altice), TF1, France Télévisions, l’Ina, Canal+ ou encore M6 ; côté publicité (35 %), l’Union des marques, DDB (Omnicom), Dentsu Aegis, Havas Media, Publicis ou encore FCB. Désigner la personne qui présidera aux destinées d’un Médiamétrie de plus en plus digital, data, global et international nécessite une grande précision, afin de trouver le mouton à cinq pattes capable de relever les défis qui se présenteront à lui. Au moins trois noms ont circulé : Yannick Carriou (PDG de Teknowlogy/ex-CXP, ancien d’Ipsos Connect), Sébastien Danet (président d’IPG Mediabrands France, ancien de Publicis Media) et Denis Delmas (président du Cnam Incubateur, ancien de TNS-Sofres et d’Havas). Convaincants ? Aucun commentaire chez Médiamétrie.

Après les fortes turbulences du « Fungate »
La personne retenue devra avoir les épaules solides pour assumer la lourde responsabilité de ce tiers de confiance médiatique très exposé. Bruno Chetaille, PDG de Médiamétrie depuis décembre 2006, en est à son quatrième mandat. Sur les treize années passées à la tête de cet institut de mesure d’audience, ce fut sans doute le plus difficile. L’affaire dit « Fungate » a été éprouvante. Fun Radio (RTL Group/M6) s’est rendue coupable en 2016 d’avoir gonflé ses mesures d’audience au détriment des ses concurrentes, un animateur ayant conseillé à ses auditeurs de mentir aux enquêteurs de Médiamétrie. NRJ (NRJ, Chérie, Nostalgie, Rire & Chansons), Lagardère (Europe 1, RFM, Virgin Radio), Skyrock, les Indés Radios (131 radios) et NextRadioTV (Altice Média) s’en sont plaints et ont fait faire une enquête au Centre d’étude des supports de publicité (CESP). En décembre 2016, ils ont déposé plainte devant la justice pour « concurrence déloyale ». Cependant, au cours des deux années suivantes, quatre des plaignants – sans que RTL Group ne les désigne dans son dernier rapport annuel où il fait le point sur cette affaire – ont mis un terme à leur action en justice.
Le reste de la procédure est suspendue en attendant le rapport de l’expertise judiciaire demandée par Fun Radio en décembre 2017 et accordée par la Cour d’appel de Versailles. Selon RTL Group, ce rapport d’expertise judiciaire portant sur les corrections effectuées par Médiamétrie sur les audiences de Fun Radio qui les conteste, était attendu pour « le deuxième trimestre 2019 »… pas de nouvelle. Mi-2016, Médiamétrie avait suspendu les résultats d’audience de Fun Radio, avant de les réintégrés mais en les corrigeant à la baisse du premier semestre 2016 au premier semestre 2017. L’institut a justifié ces correctifs sur un an pour prendre en compte « un effet halo ». Contestant la méthode de calcul aboutissant, selon elle, à de « très lourdes corrections » de son audience, la radio « dancefloor » de RTL Group avait alors engagé un bras de fer judiciaire avec l’institut en l’accusant de « traitement discriminatoire depuis plus d’un an ». L’issue de ce « Fungate » dépendra donc des conclusions de l’expert. Par ailleurs, le 5 août dernier, des radios privées comme NRJ, RFM, Skyrock ou encore Virgin Radio ont contesté les sondages de Médiamétrie… en Corse. Ironie de l’histoire, Bruno Chetaille quittera Médiamétrie après cette zone de turbulences, lui qui a pris la succession de Jacqueline Aglietta dans une période également agitée. A l’époque, au printemps 2006, les chaînes de télévision et des agences de publicité avaient vivement reproché à Médiamétrie son retard dans la mesure des nouvelles chaînes de la TNT et dans les nouvelles technologies. Ces critiques auraient précipité le départ de sa fondatrice. Sous l’ère « Chetaille », l’entreprise de mesure d’audience a modernisé ses méthodes de calcul, étendu ses compétences aux nouveaux médias et est passée de 43 millions d’euros de chiffre d’affaires en 2005 à 102,7 millions en 2018. En janvier 2011, Médiamétrie publie les premières audiences TV intégrant le différé (2) grâce notamment à l’automatisation par watermarking. A partir d’octobre 2014, le fameux « Médiamat » (ex-Audimat) intègre le replay (catch up ou télé de rattrapage). Puis en janvier 2016, les résultats des chaînes cumulent les audiences en live (à l’antenne), en différé et en catch up TV (3). Depuis mars 2017, la durée d’écoute globale à domicile de la télévision comprend la consommation « 4 écrans » (téléviseur, ordinateur, tablette, smartphone), en live, en différé et en replay. La nouvelle génération d’audimètres est au format d’une tablette (appelée TVM3). « En 2020, la consommation hors du domicile sur un écran de TV (bar, gare, aéroport, lieux publics, etc.), mais aussi en vacances, en week-end ou encore dans la résidence secondaire, sera intégrée à la mesure de référence. Puis, elle intègrera aussi l’audience des programmes TV consommés sur les trois écrans Internet (ordinateur, tablette, smartphone) », indique Médiamétrie à Edition Multimédi@. Cette mesure hors domicile et plus individualisée est rendue possible grâce à un petit audimètre portable dont sont équipés 10.000 personnes constituant le panel.
Cependant, dans son audit annuel du Médiamat publié le 26 juillet dernier, le CESP recommande une meilleure prise en compte des plateformes OTT (4) telles que Netflix, et des nouveaux équipements comme les TV connectées, Apple TV ou encore Chromecast. Pour l’heure, Médiamétrie applique progressivement la mesure TV « 4 écrans » à certains OTT : depuis 2017 à Molotov et depuis 2018 à myCanal. Les services de SVOD Netflix et Amazon Prime Video devaient suivre. « Nous travaillons avec d’autres acteurs pour en étendre le périmètre », nous indique Médiamétrie, qui a déjà lancé en juin le « baromètre Netflix » des films et les séries les plus regardés sur ordinateur et mobile. Concernant la plateforme YouTube, elle est la première à intégrer la mesure Internet vidéo « 3 écrans », laquelle remplace depuis janvier la mesure vidéo Internet. La première publication de la mesure YouTube interviendra courant septembre.

Vers un standard commun de la data média
Côté radios, la mesure s’est faite jusque-là sur l’écoute directe sur poste de radio, autoradio, ordinateur, smartphone, baladeur ou encore tablette. Depuis cette année, le « Global audio » analyse désormais l’écoute de la radio, des web radios, des podcasts natifs, des plateformes de streaming musical ou encore des livres audios (5). Data, géolocalisation et programmatique se sont installés au coeur de la stratégie de Médiamétrie, qui, avec ses data scientists, a l’ambition de créer un standard commun de la data média en France. Une nouvelle ère s’ouvre. @

Charles de Laubier

Le marché mondial du cloud est en plein boom, au risque d’échapper aux régulateurs nationaux

Publié le par

Les services de cloud dans le monde devraient franchir cette année la barre des 200 milliards de dollars. Les « as a service » (activité, infrastructure, application, logiciel, …) et les mégadonnées du Big Data font les affaires des prestataires du cloud computing, où les GAFAM s’en donnent à coeur joie.

« Les services en nuage bouleversent vraiment l’industrie.
Les prestataires bénéficient de plus en plus de stratégies cloud-first d’entreprises. Ce que nous voyons maintenant
n’est que le début. D’ici 2022, la croissance de l’industrie
des services infonuagiques sera près de trois fois celle de l’ensemble des services numériques », prévient Sid Nag (photo), vice-président analyste chez Gartner.

Stratégies de cloud-first, voire de cloud-only
Le marché mondial du cloud devrait encore progresser de 17,5 % durant cette année 2019 pour franchir la barre des 200 milliards de dollars, à 214,3 milliards précisément. C’est du moins ce que prévoit le cabinet d’études international Gartner, qui a fait part
de ses projections début avril. Cette croissance exponentielle à deux chiffres a de quoi faire pâlir d’autres secteurs numériques. A ce rythme, après les 200 milliards de dollars franchis cette année, la barre des 300 milliards sera allègrement dépassée en 2022.
Le segment le plus dynamique de ce marché en plein boom est celui du cloud des infrastructures systèmes, appelé IaaS (Infrastructure as a Service), suivi par le cloud des infrastructures d’applications, appelé PaaS (Platform as a Service). La troisième plus forte croissance est aussi celle du premier segment du marché des nuages numériques, à savoir le cloud des services logiciel, appelé SaaS (Software as a Service), qui pèse à lui seul 43,8 % du marché en 2018 et devrait même en représenter 44,6 % en 2022. « D’ici la fin de l’année, plus de 30 % des nouveaux investissements des fournisseurs de technologie dans les logiciels passeront du cloud-firstau cloud-only. Cela signifie que la consommation de logiciels sous licence continuera de chuter, tandis que les modèles de consommation en nuage par abonnement et le SaaS continueront de croître », prévoit Gartner. Les segments du cloud les plus techniques tels que les processus opérationnels, désignés par BPaaS (Business Process as a Service), et le management et la sécurité, désignés a fortiori par MSaaS (Management and Security as a service), continueront de progresser mais dans une moindre mesure par rapport aux autres segments. On retrouve ces tendances d’évolution du marché infonuagiques en France, qui devrait passer de 5,1 milliards de dollars/4,6 milliards d’euros en 2018
à 8,6 milliards de dollars/7,6 milliards d’euros en 2022 (voir tableau ci-dessous). Sur l’Hexagone comme ailleurs, SaaS est le plus gros segment, suivi du BPaaS, de l’IaaS, du PaaS, puis du MSaS.
Selon l’organisme de statistiques européen Eurostat, 26 % des entreprises de l’Union européenne (UE) – soit plus d’une sur quatre – ont acheté des services de cloud computing l’an dernier. La proportion est majoritaire chez les grandes entreprises
(56 %) et bien moindre chez les petites et moyennes entreprises (23 %). La première utilisation qui est faite de ces prestations à distance dans le « nuage informatique » concerne la messagerie électronique (69 %), suivie de près par le stockage des fichiers sous forme dématérialisée (68 %). Viennent ensuite la puissance de calcul achetée pour faire fonctionner leurs propres logiciels (23 %) et l’utilisation de logiciels dans le cloud pour gérer les informations sur la clientèle (29 %).
Pour les entreprises en Europe qui exploitent le Big Data, soit 12 % d’entre elles, les mégadonnées proviennent de sources de données variées : près de la moitié ont d’abord analysé les données de géolocalisation des appareils portables, tels que les smartphones, des connexions sans fil comme le Wifi ou le GPS (49 %). Ensuite, les mégadonnées sont issues des données générées par les médias sociaux et réseaux sociaux (45 %), de dispositifs ou de capteurs intelligents (29 %) ou encore de données provenant d’autres sources (26 %). Si aujourd’hui le Big Data est une expression dépassée par l’IA (l’intelligence artificielle), l’IoT (l’Internet des objets) ou encore la Blockchain, le cloud, lui, prospère tant que les données s’affirment de plus en plus comme le pétrole du XXIe siècle – comme l’a encore montré la 8e édition du Big Data Paris en mars dernier (1).

Amazon et Microsoft en tête, suivis de Google
Le nuage informatique permet aux entreprises de créer un « lac de données », ou Data Lake (stockage des données dans leurs formats originaux ou peu modifiés), à partir duquel l’analyse des données et de leur valorisation peut s’opérer (data mining, marchine learning, business intelligence, cognitive search, master data management, …). Plus de dix ans après que l’expression « Big Data » ait été prononcée – le 22 décembre 2008 dans leur livre blanc (2) par trois chercheurs universitaires de la Computing Research Association américaine –, le cloud est un marché multimilliardaire à la croissance insolente. On estime que le tournant du cloud-first a été pris au cours des années 2013-2016, avec les GAFAM qui se sont engouffrés sur ce marché porteur pour leur plus grand profit. Amazon vient de doubler ses bénéfice grâce au cloud sur le premier trimestre 2019. Sa filiale AWS (Amazon Web Services), qui compte parmi ses clients Apple, Netflix ou encore Pinterest, est le numéro un mondial du secteur. Microsoft arrive en deuxième position grâce à Azure. Google Cloud est aussi à l’offensive avec le Français Sébastien Marotte, son vice-président pour la région EMEA. Le géant du Net compte parmi ses clients européens Airbus, Alstom, Sky, BNP Paribas, Drouot Digital, GRDF, Philips ou encore Veolia (3). L’entrée en vigueur il y a près d’un an en Europe – le 25 mai 2018 – du règlement général sur la protection des données (RGPD) ne semble pas freiner les ardeurs des GAFAM qui ont plus que jamais la tête dans les nuages. « Le “Cloud Act” américain est-il une menace pour les libertés des citoyens européens ? », s’était interrogé l’avocat franco-américain Winston Maxwell dans Edition Multimédi@ après l’affaire controversée « Microsoft » (4). Le Cloud Act fut adopté aux Etats-Unis il y a plus d’un an maintenant (5) – promulgué le 23 mars 2018. Ce texte de loi fédéral et sécuritaire américain prévoit une base juridique permettant
au gouvernement des Etats-Unis de conclure des accords avec des gouvernements étrangers concernant l’accès aux données détenues par les prestataires de services américains, et vice versa. En clair : les autorités publiques et les agences de renseignement américaines sont en droit d’obtenir – des opérateurs télécoms, des fournisseurs d’accès à Internet (FAI) et des fournisseurs de services de cloud – des informations et/ou enregistrements stockés sur leurs serveurs, que ces données et contenus « soient localisés à l’intérieur ou à l’extérieur des Etats-Unis ».

Cloud Act américain et RGPD européen
En outre, ce Cloud Act permet aux Etats-Unis de passer des accords bilatéraux avec d’autres pays, lesquels pourront à leur tour obtenir des informations de la part des fournisseurs de services américains. Or l’article 48 du RGDP dispose que « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Mais dans son amicus brief de 2017 dans l’affaire « Microsoft » (6), la Commission européenne estime que le RGPD tolérait – malgré son article 48 – des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. @

Charles de Laubier

E-démocratie : la révolution numérique détruit-elle ou enrichit-elle la décision collective?

Publié le par

Cette question sera débattue lors du colloque « Quel avenir pour la décision collective en démocratie ? », le 23 novembre 2018 à l’Assemblée nationale (1).
Le digital permet d’envisager une e-démocratie , mais les citoyens doivent être aptes à déjouer les jeux d’influences et d’infox.

Fabrice Lorvo*, avocat associé, FTPA.

La révolution numérique nous invite à repenser la manière dont les « décisions collectives » (2) sont prises au niveau politique. A ce jour, la décision collective s’exerce sous forme de mandat. Les électeurs désignent des représentants à l’Assemblée nationale et aussi un Président qui nomme un gouvernement. Ce mandat est représentatif (c’est-à-dire général, libre et non révocable), mais pas impératif (3).

E-élaboration des décisions et des lois
Ce système trouvait notamment sa justification dans des contraintes d’espace et de temps. Techniquement, il était impossible – puis difficile ou coûteux – de consulter tous les citoyens en même temps. La révolution numérique nous affranchit dorénavant de ces contraintes. On doit dès lors se demander si ces nouvelles capacités techniques sont de nature à justifier une mutation profonde dans la prise de décision collective.
Le numérique est un outil qui permet de renforcer la décision collective. Du point de
vue technique, la miniaturisation et le développement des télécommunications mobiles permet d’envisager la mise en place d’une démocratie numérique (4) dont l’objectif est, par l’utilisation d’Internet, d’accroître et de faciliter une plus large participation des citoyens au processus de décision et d’action politique et, ainsi, d’améliorer la transparence du processus démocratique. Parallèlement, force est de constater qu’au niveau sociologique, l’acceptation par les citoyens d’une décision prise par une autorité au nom de la collectivité est de plus en plus relative. Toute décision ayant un impact sur plusieurs individus n’est aujourd’hui acceptable que si elle a été préalablement exposée et discutée (5). Cette nouvelle aspiration démocratique s’exerce au niveau de l’information sur la décision à prendre, du débat sur son opportunité et sur son périmètre. Il existe aussi de plus en plus de revendications des citoyens pour pouvoir aussi décider directement.
En France, plusieurs initiatives politiques ont été prise en 2017 pour organiser sur Internet une élection primaire ouverte à tous les citoyens (sous certaines conditions), afin de désigner un candidat à l’élection présidentielle (6). Il y a aussi aussi une aspiration grandissante à un processus de rédaction collaborative : des consultations sont notamment organisées par certains parlementaires (7) pour associer les citoyens à la rédaction de leurs propositions de loi. Le stade ultime de cette démocratie numérique étant de pouvoir consulter en temps réel les citoyens sur tous les sujets. Au-delà de l’enthousiasme que suscite le concept de renouvellement démocratique, on doit s’interroger sur les nombreuses contraintes qu’il implique. Parmi elles : la cybersécurité, d’une part, et la participation, d’autre part. L’évolution vers une démocratie numérique n’est concevable que si elle se réalise dans un environnement informatique entièrement sécurisé : ce que l’on voit à l’écran n’est pas forcément la réalité (8).
Il faut en outre s’assurer, pour les votes électroniques, que ceux qui s’expriment ont bien la qualité d’électeurs, et donc qu’ils sont humains. Concernant la participation cette fois, promouvoir la démocratie numérique suppose une confiance dans le bon sens commun et l’intelligence collective. Elle revient aussi à spéculer sur l’envie de la collectivité des citoyens d’y participer, sachant que l’abstention est en hausse constante depuis 1958. Si l’instauration d’une démocratie numérique ne coïncide pas, simultanément, avec une mobilisation citoyenne pour y participer, il est plus que probable que la démarche sera un échec. Au pire, la décision collective ne sera plus que l’expression de la volonté d’une minorité active ou de groupes d’intérêt. Ce renouvellement pose aussi une question socialement difficile à aborder, surtout dans l’environnement narcissique créé par le numérique : tout le monde peut-il ou doit-il avoir un avis sur tout ?

Intérêt général et intérêts particuliers
Les facilités techniques offertes par le numérique sont sans effet sur la complexité du processus d’élaboration d’une décision et notamment d’une loi. Une décision ne peut être prise qu’en considération de contraintes horizontales (une décision qui semble juste dans un domaine ne doit pas avoir pour effet de créer une injustice dans un autre) et de contraintes verticales (une décision doit prendre en considération à la fois notre passé pour des questions de cohérence et l’avenir, à savoir l’intérêt des générations futures). Les facilités précitées sont aussi sans effet sur la technicité de certains sujets qui ne peut être ignorée. Enfin, on doit se demander si tous les sujets peuvent faire l’objet d’une consultation ou d’une décision collective. En principe, les décisions doivent être prises en fonction d’objectifs dictés par l’intérêt général. Or ce dernier n’est pas mathématiquement la somme des intérêts particuliers. Prenons l’exemple du tabac,
qui est probablement l’un des plus grands fléaux de santé publique : pour réduire la consommation, le gouvernement a décidé un train de hausses successives des prix jusqu’en novembre 2020. Cette décision est objectivement pertinente d’un point de
vue social, mais il est peu probable qu’elle aurait fait consensus notamment dans la catégorie des fumeurs si les citoyens avaient été consultés. Certaines décisions doivent donc être prises contre l’intérêt immédiat de leurs bénéficiaires. De la même manière, le caractère d’intérêt général peut être reconnu par les citoyens tout en étant vigoureusement refusée par ceux qui ont à le subir (9).

Influence collective et manipulation
Le numérique est aussi un outil qui permet d’influencer la décision collective. Notre démocratie repose sur le postulat que l’électeur est capable (il sait ce qu’il fait). Cependant, cette capacité peut être fortement altérée par le numérique. Au niveau international, il existe dans l’histoire récente au moins deux cas aux Etats-Unis qui semblent le suggérer : en 2016, des autorités de sécurité intérieure américaines (10) (*) (**) ainsi que le FBI (11) ont dénoncé des interventions du gouvernement russe pour influencer les élections américaines (notamment par les révélations sur les e-mails d’Hillary Clinton publiés sur les sites DCLeaks.com and Wikileaks). Toujours en 2016,
il est prétendu que l’élection de Trump a pu être favorisée par le recours au Big Data. Le candidat Trump a fait appel à la société Cambridge Analytica dont l’activité consiste à fournir aux entreprises et aux mouvements politiques des stratégies et opérations de communication clés-en-main basées sur l’analyse des données à grande échelle. Cette société annonce « utiliser les données pour changer le comportement du public » . Comme l’a reconnu Facebook (12), Cambridge Analytica aurait siphonné les données de 87 millions des utilisateurs du réseau social pour identifier et solliciter dans la société civile américaine le très fort courant anti-élites qui pouvait favoriser l’émergence d’un candidat atypique.
Ces deux événements ont, de manières différentes, participé à influencer la décision collective dans le choix d’un Président en utilisant le numérique. La première a consisté à intervenir auprès de l’opinion publique pour discréditer un candidat par l’information ; la seconde a permis d’identifier et de solliciter des électeurs qui auraient pu être passifs, et ce uniquement en les ciblant à l’aide de leur data. S’agissant de la propagande, il a toujours existé un lien intime entre opinion publique et décision collective. En conséquence, les tentatives d’influence de l’opinion ne sont pas nouvelles. Cependant ces manipulations ont, avec le numérique, une efficacité nouvelle incommensurable du fait de l’immédiateté de la diffusion, de sa mondialité et de son caractère potentiellement viral. En d’autres termes, les outils de propagande devaient, par le passé (13), être fabriqués mais leurs sources permettaient de les identifier. Aujourd’hui, Internet et les réseaux sociaux constituent un espace existant, gratuit et souvent anonyme au niveau de la source. S’agissant des données collectées dans le monde numérique, leur utilisation va exposer notre société à des maux inédits. En effet, en principe, celui qui convoite les suffrages tente de faire adhérer le public à son projet. Aujourd’hui, avec l’analyse du Big Data, ce sont les algorithmes qui vont probablement prédire les convictions à affirmer et les personnes à solliciter.
Que ce soit par les infox (fake news) ou par le profilage avec des data, le numérique rend possible une sollicitation individuelle nouvelle qui permet d’agir sur le comportement des citoyens. Ces démarches semblent permettre l’activation des comportements individuels. Dans son dernier livre (14), l’historien israélien Yuval
Noah Harari parle de possibilité de « pirater les êtres humains ».
En conclusion, il est fort probable que le renouveau démocratique espéré par l’utilisation de l’outil digital aboutisse à un double effet. D’un côté, une amélioration visible de la décision collective par la création d’un lien plus étroit entre le citoyen et son représentant, avec deux types de flux (du représentant vers le citoyen en renforçant la transparence et l’information, et du citoyen vers le représentant pour l’expression d’une opinion). De l’autre, et « en même temps », une altération invisible de la décision collective du fait des interventions sur la volonté des citoyens (en utilisant l’émotion et l’intérêt individuel plutôt que la raison et l’intérêt collectif). L’un des principaux remparts pour lutter contre la manipulation des individus par « l’information », c’est de cultiver l’esprit critique de chaque citoyen et faire de l’éducation au média. Pour ne pas subir demain les effets négatifs de la révolution numérique, il faut plus que jamais investir aujourd’hui et massivement dans l’Ecole de la république. Nous commençons aussi à payer très cher la démarche de gratuité des médias, accélérée par le numérique. S’il n’est pas contestable que la presse soit « le chien de garde » de la démocratie, il faudrait rapidement réapprendre « à nourrir le chien ».

Une réflexion éthique s’impose
S’agissant des data, leur traitement de masse va jouer un rôle décisif très prochainement au niveau politique, et donc au niveau de la décision collective. Notre société a pris conscience de l’importance des données, notamment avec le RGPD (15). Il faut aller encore plus loin dans la réflexion sur qui doit contrôler les Big Data – le secteur privé ? L’Etat ? – et jusqu’où peut-on les utiliser ? On doit conserver à l’esprit que nous maîtrisons mal la portée de la nouvelle connaissance que nous apportera le Big Data. Dans l’exploration de ce nouveau monde, les envolées techniques permises par le numérique doivent plus que jamais être contrebalancées par une réflexion éthique. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Publié le par

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude menée par Gartner, 20 milliards d’objets connectés seraient en circulation en 2020 (1). Qu’il s’agisse du domaine de la santé, du bien-être, du sport, de la domotique ou encore du loisir, l’attrait des utilisateurs pour les objets connectés est caractérisé. Paradoxalement, bien qu’avertis, ces derniers ne mesurent pas toujours les risques qui pèsent sur leur vie privée et leurs données personnelles. Ces deux notions – vie privée et données personnelles – ne sont pas synonymes, bien qu’intrinsèquement liées (2).

Les exemples de Linky et de Gazpar
La donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » (3). A l’inverse, la vie privée ne trouve pas de définition légale bien que le Code civil consacre un droit au respect de la vie privée (4). Les apports de la jurisprudence permettent aujourd’hui de définir la notion de vie privée comme « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures » (5). Ainsi, si un objet connecté peut porter atteinte aux données personnelles d’un utilisateur (collecte illicite des données personnelles, failles de sécurité permettant aux tiers d’accéder aux données, etc.), il peut également dans une plus large mesure porter atteinte à sa vie privée (captation d’images ou de voix, intrusion dans l’intimité, etc.). L’ubiquité et l’omniprésence des objets connectés dans la vie des utilisateurs conduisent à une collecte permanente et instantanée des données. Par ce biais, de nombreuses informations relatives à la vie privée des utilisateurs deviennent identifiables. D’ailleurs, la divulgation massive de données relatives à la vie privée lors de l’utilisation d’un objet connecté est souvent
une condition sine qua non à l’existence du service proposé par le fabricant. A titre d’exemple, la nouvelle génération de compteurs d’électricité et de gaz, tels que respectivement Linky et Gazpar qui ont fait l’objet d’une communication (6) (*) (**) de la Cnil en novembre 2017, peut collecter des données de consommation énergétique journalières d’un foyer. Si l’utilisateur y consent, des données de consommation plus fines peuvent être collectées par tranche horaire et/ou à la demi-heure. Cela permet d’avoir des informations très précises sur la consommation énergétique de l’usager. Dans l’hypothèse d’un traitement insuffisamment sécurisé, une personne malveillante pourrait alors avoir accès à des informations telles que les plages horaires durant lesquelles l’usager est absent de son logement, celles pendant lesquelles il dort ou encore les types d’appareils utilisés. Les habitudes d’une personne peuvent ainsi être déterminées aisément, ce qui constitue une atteinte à la vie privée. La décision de la Cnil, datée du 20 novembre 2017 et mettant demeure la société Genesis Industries Limited (7), est une autre illustration des risques encourus par l’utilisation des objets connectés notamment au regard de la vie privée. Cette société commercialisait des jouets connectés qui pouvaient interagir avec les enfants. Suite à un contrôle effectué par la Cnil, il a été constaté une absence de sécurisation des jouets (8) qui permettait à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter à l’insu des personnes et d’avoir accès aux discussions échangées dans un cercle familial ou amical (9). L’intrusion dans la vie privée à travers les objets connectés peut ainsi être importante et particulièrement dangereuse lorsqu’il s’agit d’un utilisateur vulnérable tel qu’un enfant mineur.
Pour autant, une réglementation est difficilement applicable aux objets connectés. Tout d’abord, une incompatibilité d’origine des objets connectés avec certains principes relatifs au traitement des données personnelles doit être soulignée.

Proportionnalité, mesure de soi et Big Data
A titre d’exemple, le principe de proportionnalité (10), qui requiert que les données soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, ne peut être satisfait dans le cadre de l’utilisation d’un objet connecté dit quantified-self – c’està- dire un appareil connecté pour la «mesure de
soi ». En effet, le nombre de données collectées sera nécessairement important
pour qu’un service adapté à l’utilisateur puisse être fourni. De même le principe
de conservation limité des données collectées (11) peut difficilement être mis en application dans le cadre d’un service fourni par un objet connecté. En effet, la conservation des données pour une durée indéterminée représente souvent une opportunité pour les fabricants dans le cadre du Big Data.
Aujourd’hui, en vertu de la loi « Informatique et Libertés », une obligation d’information pèse sur les responsables de traitement (12). De même, en vertu du Code de la consommation, une obligation pré-contractuelle d’information pèse sur le professionnel qui propose un bien ou un service (13). L’utilisateur d’un objet connecté doit ainsi pouvoir avoir des informations claires et précises sur le traitement de ses données, mais également sur les caractéristiques de l’objet connecté.

Loi française et règlement européen
Or, la récente assignation de deux plateformes majeures dans le monde numérique
– notamment sur le fondement de pratiques commerciales trompeuses au motif d’un nonrespect de l’obligation précontractuelle d’information dans le cadre de la vente d’objets connectés (14) – souligne les difficultés relatives à l’information des utilisateurs. L’avis de 2014 du G29, le groupe qui réunit les « Cnil » européennes, sur les objets connectés illustre également le manque d’informations des utilisateurs sur le traitement de leurs données (15). Ainsi, bien qu’une réglementation protectrice des utilisateurs d’objets connectés soit applicable, celle-ci est difficilement mise en oeuvre. De cet obstacle découle la question de la validité du consentement de l’utilisateur. Si le droit
à l’autodétermination informationnelle – droit pour toute personne de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la loi « Informatique et libertés » – a été récemment affirmé en France, son effectivité au regard des objets connectés semble moindre.
En effet, même si au moment de l’activation de l’appareil le consentement à la collecte de certaines données est recueilli auprès de l’utilisateur, il convient de souligner que
par la suite des données sont délivrées de manière involontaire. Par exemple, dans le cadre d’une montre connectée, l’utilisateur consent à la collecte de données relatives au nombre de pas qu’il effectue au cours de la journée. Mais lors de cette collecte, le responsable de traitement peut également avoir accès à d’autres données telles que celles relatives à la géolocalisation de l’utilisateur. En ce sens, le consentement recueilli n’est pas toujours éclairé et le droit à l’autodétermination informationnelle n’en sera qu’affaibli. Ainsi, la protection de l’utilisateur d’un objet connecté semble moindre. L’applicabilité du règlement européen sur la protection des données personnelles le
25 mai prochain – règlement dit RGPD pour « règlement général sur la protection des données » (16) – permet d’envisager une amélioration de la protection des utilisateurs d’objets connectés sur plusieurs points. Tout d’abord, par l’exigence de la mise en place de mesures permettant d’assurer une protection de la vie privée par défaut et dès la conception de l’objet connecté, le fabricant sera amené à prendre en compte les questions relatives à la vie privée de l’utilisateur en amont d’un projet (17). De même, les nouvelles mesures de sécurité devant être prises, tant par les responsables de traitement que les sous-traitants (par exemple, la pseudo-nymisation, les tests d’intrusion réguliers, ou encore le recours à la certification), tendront à garantir une meilleure protection des données personnelles des utilisateurs (18). Ensuite, la mise
en place de nouveaux droits pour l’utilisateur tels que le droit d’opposition à une mesure de profilage (19), le droit d’effacement des données pour des motifs limitativement énumérés (20) ou encore le droit à la portabilité des données (disposition déjà introduite par la loi « République numérique » du 7 octobre 2016 dans le Code de la consommation aux articles L. 224-42-1 et suivants) consolideront les moyens conférés aux utilisateurs d’objets connectés pour protéger leur vie privée. Il convient de souligner que cette amélioration dépend tout de même d’une information effective de l’utilisateur. En effet, si le fabricant ou le distributeur de l’objet n’informe pas l’utilisateur des différents droits dont il dispose, il semble peu probable que les utilisateurs les moins avertis agissent. Enfin, si la question de l’applicabilité de la réglementation européenne pour les acteurs situés en dehors de l’Union européenne (UE) pouvait se poser notamment lorsqu’ils collectaient des données d’utilisateurs européens, celle-ci n’aura plus lieu d’être à compter du 25 mai 2018. En effet, tout responsable de traitement ou sous-traitant qui n’est pas établi dans l’UE dès lors qu’il collectera des données personnelles de personnes se trouvant sur le territoire de l’UE sera contraint de respecter la réglementation européenne relative aux données personnelles. Ce point est important puisque dans le cadre des objets connectés, souvent, les flux de données ne connaissent pas de frontières.

Gagner la confiance du public
L’équation objets connectés, vie privée et données personnelles est par définition difficile. La révélation massive et constante de données relatives à une personne implique nécessairement une intrusion importante et parfois non voulue dans la vie des utilisateurs. Cependant, l’existence d’un arsenal juridique tant en droit français qu’en droit européen permet de limiter les impacts négatifs générés par les objets connectés. D’ailleurs il convient de noter que, dans le récent cadre de la réécriture de la loi
« Informatique et Libertés », la commission des lois a adopté un amendement permettant à une personne concernée d’obtenir réparation au moyen d’une action
de groupe du dommage causé par un manquement du responsable de traitement
ou sous-traitant aux dispositions de cette loi. Finalement, dans un marché hautement concurrentiel, les objets connectés qui survivront seront ceux qui auront su gagner la confiance du public et présenteront le plus de garanties en matière de respect à la vie privée et de sécurité. @

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.

La Commission européenne est décidée à favoriser, tout en l’encadrant, l’économie de la data

Publié le par

Dans une communication publiée le 10 janvier 2017, la Commission européenne prévoit de favoriser – tout en l’encadrant – le commerce des données numériques. Cette régulation de la data suppose notamment de réviser dès
cette année la directive de 1996 sur la protection des bases de données.

L’année 2017 sera placée sous le signe de la data. La Commission européenne veut encadrer l’exploitation des données dans une économie de plus en plus numérique.
La communication qu’elle a publiée le 10 janvier, sous le titre
« Construire une économie européenne de la donnée » (1), devait être rendue publique en novembre. Finalement, elle
l’a été avec deux mois de retard et fait l’objet d’une vaste consultation publique – jusqu’au 26 avril prochain.

Une loi européenne d’ici juin 2017 ?
Ces nouvelles règles sur la data utilisée à des fins commerciales doivent mieux encadrer la manière dont les entreprises s’échangent des données numériques entre elles pour développer leur chiffre d’affaires et générer des pro f i t s . I l s’agit d’év i ter que les consommateurs – internautes et mobinautes – soient pris au piège d’accords d’utilisation qu’ils ne pourraient pas refuser, donnant ainsi implicitement à d’autres entreprises que leur fournisseur numérique l’accès à leurs données personnelles. Toutes les entreprises sont potentiellement concernées. Si la communication n’a pas de caractère contraignant, la Commission européenne se réserve la possibilité de légiférer si les entreprises n’appliquaient pas ses suggestions sur le partage de données. Andrus Ansip (photo), viceprésident de la Commissaire européen en charge du Marché unique numérique et – depuis le 1er janvier 2017 – de l’Economie et de la Société numériques (2), a déjà laissé entendre qu’un texte législatif sur la propriété des données et l’accès à ces données pourrait être proposé d’ici juin 2017.
Tous les secteurs de l’économie – industries, services, e-commerce, … – sont en ligne de mire. Déplorant l’absence d’étude d’impact, un cabinet d’avocats (Osborne Clarke)
a recommandé à la Commission européenne de ne pas se précipiter à édicter une nouvelle loi. De nombreux secteurs économiques craignent cette régulation de la data et la perçoivent comme un frein à leur développement. Par exemple, dans l’industrie automobile, l’Association européenne des constructeurs d’automobiles (3) a fait savoir lors d’une conférence à Bruxelles le 1er décembre dernier sur le thème de
« Smart cars: Driven by data » que les données des conducteurs appartenaient aux constructeurs, lesquels pouvaient les vendre à d’autres entreprises. Au moment où la voiture connectée et/ou autonome démarre sur les chapeaux de roue, les industriels
de l’automobile entendent garder la maîtrise des données collectées et leur exploitation comme bon leur semble. Or la Commission européenne souhaite au contraire ne pas laisser faire sans un minimum de règles communes et en appelle à des expérimentations comme dans le cadre du programme CAD (Connected and Autonomous Driving). Les autres secteurs ne sont pas en reste. Cela concerne aussi
le marché de l’énergie (comme les compteurs intelligents), le domaine de la maison connectée, la santé ou encore les technologies financières. En outre, le potentiel de l’Internet des objets (des thermostats aux lunettes connectées), des usines du futur ainsi que de la robotique connectée est sans limite et le flux de données en croissance exponentielle.
Alors que la data constitue plus que jamais le pétrole du XXIe siècle, tant en termes d’économie de marché, de création d’emplois et de progrès social, elle est devenue centrale. L’économie de la donnée est créatrice de valeur pour l’Europe, avec 272 milliards d’euros de chiffre d’affaires généré en 2015 – soit 1,87 % du PIB européen.
Ce montant pourrait, selon les chiffres fournis par la Commission européenne, pourrait atteindre 643 millions d’euros d’ici 2020, soit 3,17 % du PIB européen (4).

Encadrer sans freiner l’innovation
La communication « Construire une économie européenne de la donnée » veut donner une impulsion à l’utilisation des données à des fins lucratives, tout en l’encadrant, sans attendre l’entrée en vigueur à partir du 25 mai 2018 de la nouvelle réglementation européenne sur la protection des données (5). Mais la Commission européenne ne veut pas non plus freiner les Vingt-huit dans le développement de l’économie de la donnée et creuser un peu plus l’écart avec les Etats- Unis. Aussi, voit-elle dans la régulation de la data une manière de contribuer au développement du marché unique numérique en donnant un accès le plus large aux bases de données – au Big Data – et en empêchant les barrières à l’entrée au détriment des nouveaux entrants et de l’innovation. Objectif : favoriser la libre circulation des données au sein de l’Union européenne, ainsi que la libre localisation de ces données dans des data centers, sans que ces échanges et ces stockages se fassent au détriment des consommateurs et de leur libre arbitre. Il s’agit aussi d’éviter la fragmentation du marché unique numérique par des réglementations nationales différentes selon les pays européens. La data se retrouve au cœur du marché unique numérique, que cela soit en termes de flux libres, d’accès, de transfert, de responsabilité, de sécurité, de portabilité, d’interopérabilité et de standardisation.

Pour la libre circulation des données
Dans sa communication « Construire une économie européenne de la donnée », dont un draft était disponible en ligne depuis décembre dernier, Bruxelles réaffirme la libre circulation des données (free flow of data) au sein de l’Union européenne et s’oppose aux barrières réglementaires numériques telles que l’obligation de localiser les données dans le pays concerné (6). Dans le prolongement de sa communication, la Commission européenne discutera avec les Etats membres sur les justifications et la proportionnalité des mesures réglementaires de localisation des données, ainsi que de leurs impacts sur notamment les petites entreprises et les start-up. Bruxelles est prêt à durcir le ton en cas de localisation abusive des données.
Partant du principe que les données peuvent être personnelles ou non personnelles, il est rappelé que la réglementation de 2016 sur la protection des données personnelle (en vigueur à partir de fin mai 2018), s’applique aux premières. Et quand un appareil connecté génère de la donnée qui permet d’identifier une personne, cette donnée est considérée comme étant à caractère personnel jusqu’à ce qu’elle soit anonymisée.
Or, constate la Commission européenne, l’accès aux données au sein des Vingt-huit est limité. La plupart des entreprises utilisant une grande quantité de données le font en interne. La réutilisation des données par des tiers ne se fait pas souvent, les entreprises préférant les garder pour elles-mêmes. De plus, beaucoup d’entreprises n’utilisent pas les possibilités des API (Application Programming Interfaces) qui permettent à différents services d’interagir avec d’autres en utilisant les données extérieures ou en partageant les siennes. Peu d’entreprises sont en outre équipées d’outils ou dotées de compétences pour quantifier la valeur économique de leurs données.
Quant au cadre réglementaire, au niveau européen ou à l’échelon national, il ne les incite pas à valoriser leur capital data. S’il y a bien le nouveau règlement sur la protection des données personnelle, les données brutes impersonnelles produites
par les machines échappent à l’actuel droit sur la propriété intellectuelle faute d’être
« intelligentes ». Tandis que la directive européenne du 11 mars 1996 sur la protection juridique des bases de données permet, elle, aux auteurs de bases de données le droit d’empêcher l’extraction et/ou la réutilisation de tout ou partie de leurs bases de donnés. Sans parler de la nouvelle directive européenne sur le secret des affaires, à transposer par les Etats membres d’ici juin 2018, qui limite l’accès à certaines informations capitales pour l’entreprise. Difficile de s’y retrouver dans ce dédale de textes législatifs. Un cadre réglementaire plus lisible et compréhensible est donc nécessaire, aux yeux de la Commission européenne, pour les données générées par les machines et les objets connectés, sur leur exploitation et leur traçabilité. Faute de quoi, l’économie de la data continuera de relever le plus souvent de relations contractuelles. Or, Bruxelles estime que cela ne suffit pas et qu’il faut un cadre adapté pour les nouveaux entrants et éviter les marchés verrouillés. Ceux que la Commission européenne appelle les propriétaires de facto de données que leurs écosystème génère ont un avantage compétitif sur leur marché, surtout en l’absence de réglementation ou de cadre juridique appropriés.

Afin que les réglementations nationales différentes ne s’imposent au détriment d’une harmonisation communautaire et des services de données transfrontaliers, une législation sur l’accès aux données pourrait voir le jour en Europe afin : d’encadrer le commerce de données générées par les appareils connectés, de faciliter et d’inciter
au partage de telles données, de protéger les investissements et les actifs, d’éviter la divulgation de données sensibles ou confidentielles, et de minimiser les effets de blocage (lockin) dans l’accès aux données.
La Commission européenne prévoit notamment : de réviser en 2017 la directive
« Bases de données » de 1996, de favoriser le développement les API pour faciliter
la création d’écosystèmes numériques, d’édicter des contrats-type portant sur l’exploitation de données, de contrôler les relations contractuelles B2B (7) et d’invalider des clauses abusives, de donner accès aux données d’intérêt général ou issues des services publics (8), d’instaurer un droit des producteurs de données à accorder des licences d’utilisation de ces données, et, enfin, de donner accès à la data contre rémunération.

Responsabilité et assurance
La responsabilité juridique liée à l’exploitation de toutes ces données devra aussi être clarifiée – quitte à envisager la révision de la directive européenne de 1985 sur la responsabilité du fait des produits défectueux (9) – pour prendre en compte les nouveaux écosystèmes tels que l’Internet des objets ou encore la voiture autonome, sans parler des implications au niveau des assurances. @

Charles de Laubier