Guerre de l’info : Russia Today et Sputnik contestent la décision de l’Union européenne de les censurer

Par un règlement et une décision, datés du 1er mars et signés par Jean-Yves Le Drian, l’Union européenne a interdit à tout opérateur télécoms, audiovisuel et plateforme numérique de diffuser ou référencer Russia Today (RT) et Sputnik. « Censure » et « atteinte grave à la liberté d’expression » dénoncent ces derniers.

« RT France a déposé un recours auprès du Tribunal de l’UE ; nous nous battrons jusqu’au bout pour ce que nous estimons être incontestablement une atteinte grave à la liberté d’expression », a écrit Xenia Fedorova, PDG de la filiale française de Russia Today, dans un tweet daté du 9 mars, soit le lendemain de l’annonce faite par le service de presse de la Cour de justice de l’Union européenne (CJUE) sur ses comptes Twitter concernant cette saisine : « #RussiaToday (France) demande au #TribunalUE d’annuler la décision et le règlement du @EU_Council du 1er mars 2022 concernant les mesures restrictives liées aux actions de la #Russie déstabilisant la situation en #Ukraine (T-125/22) ». L’Europe des Vingt-sept n’y est pas allée de main morte pour interdire deux groupes de médias, Russia Today (RT) et Sputnik. Dans la décision de politique étrangère et de sécurité commune (PESC) du Conseil de l’UE, assortie de son règlement, tous les deux datés du 1er mars 2022 et signés par le Jean-Yves Le Drian (photo), la sentence tombe : « Il est interdit aux opérateurs de diffuser ou de permettre, de faciliter ou de contribuer d’une autre manière à la diffusion de contenus provenant [de RT et Sputnik], y compris par la transmission ou la distribution par tout moyen tel que le câble, le satellite, la télévision sur IP, les fournisseurs de services Internet, les plateformes ou applications, nouvelles ou préexistantes, de partage de vidéos sur l’Internet ».

« Actes non législatifs » européens sans précédent
Pour justifier sa décision radicale et sans précédent, le Conseil de l’UE affirme qu’ »en faussant et en manipulant gravement les faits (…) ces actions de propagande ont été menées par l’intermédiaire d’un certain nombre de médias placés sous le contrôle permanent, direct ou indirect, des dirigeants de la Fédération de Russie » (1) pour laquelle « ces médias sont essentiels et indispensables pour faire progresser et soutenir l’agression contre l’Ukraine et pour la déstabilisation des pays voisins » (2). Les deux « actes non législatifs », que sont cette décision PESC (5) et ce règlement de l’UE quasi identiques, ont été adoptés à l’encontre de RT et de Sputnik sans débat ni vote du Parlement européen. Ils sont contraignants et sont entrés en vigueur dès le 2 mars, jour de leur publication au Journal officiel de l’Union européenne (JOUE). Imposées sur toute l’Europe des Vingt-sept, ces mesures restrictives obligent GAFAM (dont certains ont devancé l’appel), opérateurs télécoms et diffuseurs audiovisuels à Continuer la lecture

Données de connexion : le Conseil d’Etat dit d’ajuster légèrement la loi française au droit européen

Données de connexion (comme l’adresse IP) ou données téléphoniques (comme le numéro), leur conservation est interdite. Mais il y a une exception obligeant les opérateurs et les hébergeurs à conserver ces données durant un an. Le Conseil d’Etat appelle le gouvernement à circonscrire cette rétention.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Décevante pour certains, équilibrée pour d’autres : la décision du 21 avril 2021 du Conseil d’Etat (1) – saisi en avril 2021 par les associations La Quadrature du Net, French Data Network et Igwan.net – a le mérite de procéder à une analyse précise du cadre règlementaire national relatif aux données de connexion, en opérant une distinction entre l’obligation de conservation et le droit d’accès à ces données. Pour se conformer à la jurisprudence européenne, des adaptations sont à prévoir – mais à la marge.

Rétention des données de connexion
Interdiction de principe. Les données de communication sont celles qui sont engendrées automatiquement par les communications effectuées via Internet (données de connexion) ou la téléphonie (données téléphoniques). Elles donnent des informations sur chaque message échangé (nom, prénom, numéro de téléphone pour les données téléphoniques, numéro IP pour les données de connexion). Egalement qualifiées de « métadonnées », elles représentent tout ce qui n’est pas le contenu lui-même de la communication, mais qui informe sur cette dernière (horodatage par exemple).
La conservation de ces données est interdite, en application de l’article L. 34-1 du code des postes et des communications électroniques qui impose leur effacement – voire l’anonymisation de « toute donnée relative au trafic » (2).
Cependant, il existe une exception à ce principe. L’article R10-13 du même code (3) impose aux opérateurs de communications électroniques, aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de conserver – pour une durée d’un an – toutes les données de trafic, de localisation et celles relatives à l’identité de leurs utilisateurs. Cette conservation se justifie pour les besoins d’une part, de la recherche, de la constatation et de la poursuite des infractions, notamment pénales, et, d’autre part, des missions de défense et de promotion des « intérêts fondamentaux de la nation » (indépendance, intégrité de son territoire, sécurité, forme républicaine de ses institutions, moyens de sa défense et de sa diplomatie, etc. (4)) confiées aux services de renseignement. Ainsi – et c’est bien ce que relève le Conseil d’Etat dans son arrêt du 21 avril 2021 –, il existe une obligation de conservation générale et indifférenciée des données de connexion. On retrouve dans la directive ePrivacy (5) (désormais abrogée) le principe et l’exception précités. En effet, le texte européen interdisait le stockage des communications et des données relatives au trafic (6), mais ouvrait la faculté pour les Etats membres d’adopter des mesures législatives visant à limiter la portée de cette interdiction (7).
Dans la continuité de plusieurs décisions antérieures, un arrêt du 8 avril 2014 de la Cour de Justice de l’Union européenne (CJUE) rappelle que la conservation des données de connexion constitue une ingérence profonde dans la vie privée des citoyens de l’UE (8). La Haute juridiction européenne exige en conséquence : de solides garanties, des textes clairs et une obligation circonscrite à la seule lutte contre les infractions graves. Elle a consolidé cette analyse le 2 mars 2021, en conditionnant les législations permettant l’accès des autorités publiques aux données de connexion « à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique » (9). Dans la suite de l’arrêt de la CJUE du 2 mars 2021, le Conseil d’Etat a pris position à son tour : il admet que la conservation généralisée et indifférenciée peut être justifiée dans un objectif de sécurité nationale. A ce titre, les risques d’attentats qui pèsent sur le pays, mais également les risques d’espionnage et d’ingérence étrangère, les risques d’attaques informatiques ou encore l’augmentation de l’activité de groupes radicaux et extrémistes constitueraient autant de menaces portant atteinte à la sécurité nationale. Il prévoit cependant que le gouvernement doit adapter la règlementation, dans les six mois, afin de prévoir un réexamen périodique de la menace, de manière à rectifier le dispositif.

Accès aux données de connexion
Mais cela ne modifie en rien l’obligation de conservation des données de connexion pour les opérateurs télécoms et fournisseurs d’accès et d’hébergement Internet, lesquels peuvent recevoir une demande d’accès de la part des services de renseignement. La lutte contre la criminalité légitime l’ingérence de l’Etat. Les services d’enquête doivent pouvoir accéder aux données de connexion afin de pouvoir remonter jusqu’à l’auteur de l’infraction. Cette modalité est parfaitement admise par la CJUE. Toutefois, si la finalité est légitime, la mise en œuvre interroge. Comment, en effet, circonscrire l’obligation de conservation des données de connexion à des infractions qui n’ont pas été commises, ou dont les auteurs n’ont pas encore été identifiés ? Une solution en fait impraticable. La finalité de la sécurité, même encadrée, conduit nécessairement à une conservation généralisée et indifférenciée des données par les opérateurs. En effet, elle soulève une difficulté opérationnelle. Obstacles techniques et ciblages Le Conseil d’Etat détaille lui-même l’ensemble des obstacles de nature technique et matérielle auxquelles font face les opérateurs, fournisseurs et hébergeurs. Ces derniers ne peuvent que difficilement effectuer un tri selon les personnes ou les zones géographiques. Il leur est également impossible d’identifier par avance une personne susceptible de commettre telle infraction, ou deviner un lieu où est susceptible de se dérouler telle autre.
Le Conseil d’État n’abroge pas pour autant la solution européenne (10). L’opportunité de la solution mise en avant par la CJUE – la conservation doit être ciblée sur certaines personnes soupçonnées ou des lieux spécifiques – n’est pas à proprement parler remise en question par le Conseil d’Etat. En revanche, il enjoint au Premier ministre de réviser les textes concernés (11) afin de circonscrire les finalités de l’obligation de conservation des données de trafic et de localisation à la seule sauvegarde de la sécurité nationale. Ce qui, selon le Conseil d’Etat, ne comprend pas les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes, ainsi que les adresses IP qui, à elles seules, ne permettent pas d’obtenir d’information pertinente sur la communication. Le Conseil d’Etat valide également la légalité des techniques mises en œuvre par les services de renseignement.
L’accès en temps différé (12), l’accès en temps réel aux données de connexion en matière terroriste (13), la géolocalisation en temps réel (14), ou encore les fameuses boîtes noires ou traitements algorithmiques – à savoir les « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste » (15) – sont autant de techniques mises à la disposition des services de renseignement. Introduites dans le code de la sécurité intérieure (16) à la suite des attentats de 2015, leur légalité, fortement contestée à plusieurs reprises, a été questionnée de nouveau, sans infléchir la position du Conseil d’Etat qui admet leur conformité au droit de l’Union européenne (UE). Cependant, le recours à ces techniques doit être contrôlé par une institution dotée d’un pouvoir contraignant. La Commission nationale de contrôle des techniques de renseignement (CNCTR), instituée en juillet 2015 (17), a bien été mise en place pour veiller au respect du principe de proportionnalité de l’atteinte à la vie privée qu’entraînent ces techniques (18). Cependant, comme elle formule seulement des avis simples ou des recommandations qui n’ont pas de force contraignante, le Conseil d’Etat – pour se conformer au droit de l’UE – a annulé les décrets (19) en ce qu’ils prévoient la mise en œuvre de ces techniques de renseignement (20) sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou d’une juridiction.
Au final, des changements marginaux sont à prévoir. Si le Conseil d’Etat admet que la règlementation française doit être adaptée pour se conformer à la jurisprudence européenne, on observe qu’il s’agit de changements à la marge : prévoir un réexamen périodique de la menace qui justifie la conservation des données de connexion, redéfinir les finalités des traitements et garantir un pouvoir contraignant aux avis formulés par la CNCTR. Le cadre législatif et règlementaire français apparaît ainsi dans les grandes lignes conforme aux exigences de la CJUE.

Conservation généralisée : arrêt belge contre
La Cour constitutionnelle belge, elle, n’a pas fait la même analyse. Saisie en janvier 2017 par l’Ordre des barreaux francophones et germanophone, ainsi que par trois associations sans but lucratif (21), elle a rendu le lendemain de la décision du Conseil d’Etat en France, soit le 22 avril 2021, un arrêt (22) où elle retient que le droit de l’UE, à la lumière de la jurisprudence de la CJUE, impose aux Etats de renoncer, pour l’essentiel, à « la conservation généralisée et indifférenciée des données » de connexion (données de trafic et des données de localisation, adresses IP, identité civile des utilisateurs de moyens de communications électroniques, …), annulant ainsi la loi belge du 29 mai 2016 « relative à la collecte et à la conservation des données dans le secteur des communications électroniques », sans attendre une nouvelle législation en la matière. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB) après
avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Données personnelles : après avoir fait plier Facebook, Max Schrems s’attaque à Appleet bientôt à Google

L’organisation Noyb, cofondée par l’Autrichien Max Schrems (33 ans) qui a tenu tête à Facebook en 2015 et en 2020, a déposé plainte le 16 novembre contre Apple et son « cookie » IDFA, auprès des « Cnil » allemande et espagnole – en attendant d’autres autorités dont la France. Prochaine cible : Google.

Il est libre Max… « Il met de la magie, mine de rien, dans tout ce qu’il fait. Il a l’sourire facile, même pour les imbéciles. Il s’amuse bien, il [ne] tombe jamais dans les pièges. Il s’laisse pas étourdir par les néons des manèges. Il vit sa vie sans s’occuper des grimaces. Que font autour de lui les poissons dans la nasse. Il est libre Max, il est libre Max… », chantait Hervé Cristiani dans les années 1980 (1). Libre, c’est le cas de Max Schrems (photo) né durant cette décennie-là, en octobre 1987. Cet Autrichien a maintenant 33 ans et il est depuis deux ans et demi président d’honneur de Noyb.

Vers une affaire « Schrems 3 » avec Apple
L’organisation non gouvernementale Noyb – pour « None of Your Business » (« Ma vie privée n’est pas votre affaire ») – est née le jour même que l’entrée en vigueur en Europe du Règlement général sur la protection des données (RGPD), à savoir le 25 mai 2018. L’action de cette ONG professionnelle pour le respect à la vie privée (numérique) se veut similaire aux organisations de défense des droits des consommateurs et a vocation à engager des poursuites contre des sociétés – GAFA en tête – au nom de leurs utilisateurs. Noyb s’appuie sur les succès de son cofondateur Max Schrems, qui se présente comme « avocat et militant pour la vie privée », épaulé au sein du conseil d’administration par Christof Tschohl, avocat et spécialiste de la protection de la vie privée, et de Petra Leupold, avocate et spécialiste des droits des consommateurs.
Avant de créer Noyb, Maximilian Schrems (2) s’est fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats- Unis. Ce qui a amené la Cour de Justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’est l’affaire dite « Schrems 1 » (3) qui a propulsé Max Schrems au-devant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (4), il a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (5), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD). Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (6). C’est l’affaire dite « Schrems 2 » (7) qui a renforcé la légitimité de Max Schrems (8) face à la firme de Mark Zuckerberg.
La plainte déposée le 16 novembre dernier à l’encontre d’Apple – à la fois devant la « Cnil » allemande, le BfDI (9), et devant la « Cnil » espagnole, la AEPD (10) –, s’inscrit dans le prolongement des deux actions précédentes et pourraient bien constituer l’affaire « Schrems 3 ». Contacté par Edition Multimédi@, un autre avocat de Noyb, Stefano Rossetti, spécialisé lui aussi dans la protection de la vie privée, nous indique que la même plainte contre la firme de Cupertino pourrait être déposée auprès d’autres autorités de protection des données personnelles dont la Cnil en France : « Oui, nous considérons la France comme une option ».
Et une porte-parole de l’organisation, Phoebe Baumann, nous a expliqué : « Nous avons décidé d’aller d’abord en Allemagne et en Espagne, car nous y avions des personnes concernées et un cadre juridique établi, y compris une jurisprudence qui appuyait notre point de vue ». Après ces cookies-maison d’Apple, le système similaire chez Google sur terminaux Android sera à son tour contesté, comme Noyb nous l’a confirmé : « Nous étudions également Android et Google. En fin de compte, nous voulons voir ces traqueurs hors de nos téléphones. ».

Absence de consentement préalable
Dans cette affaire « Schrems 3 », il ne s’agit pas cette fois de transfert de données personnelles de l’Europe vers les Etats-Unis, mais de traçage des utilisateurs sur leurs smartphones et tablettes – en l’occurrence les iPhone voire les iPad d’Apple. La firme de Cupertino utilise un cookiemaison appelé IDFA, pour « Identifier for Advertisers ». Autrement dit, il s’agit d’un code de suivi unique généré par défaut – et donc sans le consentement préalable du mobinaute – par le système d’exploitation iOS des smartphones et des tablettes de la marque à la pomme. Chaque utilisateur ne peut qu’accepter la licence logiciel (Apple iOS and iPad OS Software License Agreement) s’il veut utiliser son iPhone et/ou son iPad. Or, sans qu’il le sache ni y consente, l’utilisateur des terminaux à la pomme se retrouve pisté à son insu par IDFA, « cette chaîne unique de chiffres et de caractères » qui permet à Apple et à d’autres tiers – comme les annonceurs publicitaires – d’identifier les utilisateurs à travers les applications et même de relier les comportements en ligne (cross device tracking).

La directive « ePrivacy » à la rescousse
Grâce à l’IDFA, Apple et des entreprises tierces partenaires telles que les éditeurs d’applications et les annonceurs peuvent « suivre le comportement des utilisateurs, élaborer des préférences de consommation et fournir des publicités personnalisées ». C’est là que le bât blesse : ce code de traçage suppose le consentement préalable des utilisateurs, conformément à la législation européenne : non seulement le RGPD mais aussi, et surtout, la directive dite « ePrivacy » de 2002 sur le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (11). Apple enfreint l’article 5 (paragraphe 3) de cette directive qui impose aux Etats membres de « veille[r] à ce que le stockage des informations ou l’accès aux informations déjà stockées dans ces dispositifs ne soient autorisés qu’avec le consentement préalable de l’utilisateur ». en n’obtenant pas le consentement éclairé et sans ambiguïté de ses utilisateurs pour pouvoir déposer son logiciel espion, Apple viole cette loi européenne sur les cookies. Dans ses deux plaintes quasi identiques déposé en Allemagne et en Espagne, l’organisation Noyb précise qu’« étant donné que l’IDFA est stocké et récupéré sans équivoque à partir du dispositif utilisateur, l’article 5 (3) de la directive “ePrivacy”, en tant que lex specialis, s’applique au lieu de la disposition plus générale de l’article 6 du RGPD (Apple ne peut donc prétendre à aucun intérêt légitime pour son traitement) ». Juridiquement, Noyb souligne que la directive sur la protection des données électroniques prévaut sur le RGPD (12).
La firme de Cupertino joue en outre un double-jeu, comme le souligne Stefano Rossetti : « Alors qu’Apple a introduit des fonctions dans son navigateur pour bloquer les cookies, elle place des codes similaires dans ses téléphones, sans aucun consentement de l’utilisateur. Il s’agit là d’une violation flagrante de la législation européenne sur la protection de la vie privée ». Contrairement à la plainte déposée en Espagne par l’Espagne contre Apple, celle d’Allemagne l’a été notamment par un Berlinois de 45 ans, qui a échangé plusieurs messages avec le fabricant d’iPhone au cours du mois de février dernier. Dans une première réponse, l’équipe de protection des renseignements personnels d’Apple n’a pas répondu à la demande du plaignant qui demandait pourquoi l’IDFA avait été activé sur son terminaux et « pour essayer de comprendre pourquoi il n’était pas désactivé par défaut » (ou « comment le suivi des publicités n’est pas limité par défaut »), tout en exprimant auprès de l’équipe « des doutes sur la légalité de ce traitement » et sur le risque pour ses données personnelles. Le 20 février 2020, le quadragénaire obtient d’Apple une tentative de clarification : « L’identi-ficateur publicitaire dont nous avons parlé précédemment n’est pas associé à votre identifiant Apple [Apple ID, ndlr]. Il est généré aléatoirement sur votre appareil. Les renseignements recueillis en association avec un identificateur de publicité ne sont pas personnellement identifiables et, par conséquent, le consentement ne découle pas du RGPD ». Ce à quoi le plaignant a répondu : « Je crois que ce n’est pas vrai. Par exemple, ma page “off-Facebook” montre plusieurs applications qui partageaient ces informations [l’IDFA, par ex.] avec Facebook, et cela est lié à mes informations privées. Je crois que cet identifiant pseudo-anonyme est des données privées en vertu du RGPD précisément parce qu’il peut être lié à moi personnellement ». Le 21 février, Apple s’est contenté de répondre, en bottant en touche : « Nous ne sommes pas en mesure de formuler des commentaires sur la façon dont un tiers peut traiter de telles questions ». L’entreprise à la pomme n’a ensuite plus jamais répondu au Berlinois qui souhaitait approfondir sur ce différend touchant à sa vie privée. Gageons que la firme de Cupertino sera plus claire dans ses réponses aux autorités européennes de protection des données.

Restriction aux tiers en 2021, pas pour Apple
En septembre dernier, Apple avait annoncé une « amélioration » de l’IDFA dans le sens d’une « restriction d’accès » par les développeurs et les annonceurs. Mais cette nouvelle disposition – via la fonction App Tracking Transparency (ATT) – ne sera en place qu’en 2021 avec l’iOS version 14, qui devrait donner aux utilisateurs le choix de permettre ou non aux applications – dont Facebook qui se brouille à ce sujet avec la pomme – de les suivre à des fins publicitaires et de transmettre leurs données personnelles à des tiers. « Ces changements semblent restreindre l’utilisation de l’IDFA pour les tiers (…). Toutefois, le stockage initial de l’IDFA et l’utilisation qu’en fera Apple se feront toujours sans le consentement des utilisateurs et donc en violation du droit communautaire », déplore encore Noyb. @

Charles de Laubier

Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.

La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.

Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.

Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.

Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

Comment YouTube et Uploaded ont encore échappé à leurs responsabilités dans deux affaires de piratage

L’article 17 controversé de la directive « Droit d’auteur et les droits voisins dans le marché unique numérique » n’a pu être appliqué ni à YouTube (Google) ni à Uploaded (Cyando). Et pour cause : l’Allemagne, où deux plaintes pour piratage avaient été déposées, n’a pas encore transposé le texte européen.

Par Rémy Fekete, avocat associé, et Eddy Attouche, juriste, Jones Day

On retient de Beaumarchais son Figaro. On sait moins qu’il fut l’inlassable défenseur des droits d’auteurs : « On dit au foyer des Théâtres qu’il n’est pas noble aux Auteurs de plaider pour le vil intérêt, eux qui se piquent de prétendre à la gloire. On a raison. La gloire est attrayante. Mais on oublie que pour en jouir seulement une année, la nature nous condamne à diner trois cent soixante-cinq fois ».

Deux affaires jointes sous l’ancien régime
Depuis près de 230 ans maintenant, sous l’impulsion de Pierre-Augustin Caron – alias Beaumarchais (1) – les droits d’auteurs sont reconnus comme un gagne-pain après la Révolution française. C’est désormais le combat des défenseurs des droits d’auteurs et des droits voisins qui s’opposent aux plateformes Internet. En cause, la difficulté d’identifier le responsable de la communication au public lorsqu’un internaute indélicat se permet de mettre en ligne sans autorisation une œuvre protégée. « Responsable mais pas coupable ». On entend cette défense depuis les origines de l’Internet, chaque fois qu’une plateforme numérique (2) est assignée en raison de comportements illicites qui s’y tiennent. Mais l’évolution en cours du droit européen pourrait rendre la vie moins facile aux géants du Net. Dans la nouvelle affaire qui occupe la Cour de justice de l’Union européenne (CJUE), Frank Peterson, un producteur de musique, poursuit YouTube et sa maison-mère Google, devant les juridictions allemandes, au sujet de la mise en ligne – par des utilisateurs et sans son autorisation, sur la plateforme YouTube – de plusieurs musiques sur lesquelles il allègue détenir des droits (3). Elsevier, un groupe d’édition néerlandais, poursuit également devant les juridictions allemandes Cyando, l’exploitant de la plateforme numérique Uploaded, du fait de la mise en ligne par des utilisateurs, sans son autorisation, de différents ouvrages dont l’éditeur détient les droits exclusifs (4). La Cour fédérale de justice en Allemagne a soumis plusieurs questions préjudicielles à la CJUE sur l’interprétation du droit de l’Union européenne applicable en la matière. La question principale consiste à savoir si les exploitants de plateformes en ligne, telles que YouTube et Uploaded, sont responsables de la mise en ligne illégale d’œuvres protégées, effectuée par les utilisateurs de ces plateformes. La CJUE n’a toujours pas rendu son arrêt dans les deux affaires jointes, mais les conclusions de l’avocat général, Henrik Saugmandsgaard Øe, ont été publiées en juillet (5). Celui-ci précise le cadre juridique applicable à ces deux litiges : il s’agit de deux directives européennes, respectivement « Ecommerce » de 2000 sur le commerce électronique et « DADVSI » de 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information. La directive « E-commerce » a été modifiée par la directive de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique (« DADVMUN »), qui a mis en place, pour les exploitants de plateformes en ligne, un nouveau régime de responsabilité spécifique pour les œuvres illégalement mises en ligne par les utilisateurs de ces plateformes numériques. Cependant, cette nouvelle directive « DADVMUN » ne s’applique pas aux présents litiges étant donné qu’elle n’a toujours pas été transposée en droit allemand. Elle doit l’être dans chaque droit national des Etats membres au plus tard le 7 juin 2021. Pour l’heure, ces deux affaires « allemandes » ne peuvent pas encore s’appuyer sur la directive «DADVMUN» (6). Les conclusions de l’avocat général, qui sont souvent suivies par les juges de la CJUE, ont porté sur la responsabilité directe et la responsabilité indirecte de YouTube et de Uploaded, ainsi que sur la demande d’injonction judiciaire à l’égard de ces deux exploitants de plateformes numérique.

Responsabilité directe
• La responsabilité directe
des exploitants de plateformes en ligne est conditionnée par la réalisation d’actes de communication au public. La juridiction de renvoi demande si les exploitants de plateformes en ligne réalisent un acte de « communication au public », au sens de la directive « DADVSI » (7), lorsqu’un utilisateur de leurs plateformes y met en ligne une œuvre protégée. Pour répondre à cette question, l’avocat général opère une distinction fondamentale entre une simple fourniture d’installations, et la réalisation d’actes de communication au public (8). En réalité, selon lui, les exploitants de plateformes en ligne telles que YouTube et Uploaded jouent simplement un rôle d’intermédiaire par le biais de la fourniture d’installations aux utilisateurs de leurs plateformes. Ces exploitants ne décident pas, de leur propre chef, de communiquer des œuvres à un public. Ils suivent les instructions données par les utilisateurs de leurs services qui, eux, décident de transmettre des contenus déterminés et initient activement leur communication (9). Par conséquent, seuls les utilisateurs qui mettent en ligne des œuvres protégées réalisent un acte de communication au public proprement dite de ces œuvres. La responsabilité directe ou primaire susceptible de résulter de cette communication est alors supportée uniquement par ces utilisateurs. Il en résulte que YouTube et Uploaded ne sont, en principe, pas directement responsables de la mise en ligne illicite d’œuvres protégées, effectuée par les utilisateurs de leurs plateformes.

Responsabilité indirecte
• La responsabilité indirecte
des exploitants de plateformes en ligne est conditionnée par la connaissance du caractère illicite des informations stockées. Malgré l’absence de leur responsabilité directe, YouTube et Uploaded peuvent être indirectement responsables dans la mesure où ils « facilitent la réalisation, par des tiers, d’actes illicites de communication au public » (10). Cependant, l’article 3, paragraphe 1, de la directive «DADVSI » ne régit pas cette question. L’avocat général indique à cet égard que c’est l’article 14, paragraphe 1, de la directive « E-commerce » qui a vocation à s’appliquer. Conformément à cet article, un exploitant d’une plateforme en ligne telle que YouTube ou Uploaded ne peut être indirectement tenu responsable pour des informations qu’il stocke à la demande de ses utilisateurs, à moins que cet exploitant, après avoir pris connaissance du caractère illicite de ces informations, ne les ait pas promptement retirées ou rendus inaccessibles. Autrement dit, l’absence de connaissance du caractère illicite des informations constitue une cause d’exonération de la responsabilité indirecte des exploitants de plateformes en ligne. En l’occurrence, Henrik Saugmandsgaard Øe considère que YouTube et Uploaded peuvent bénéficier, en ce qui concerne leur responsabilité indirecte ou secondaire, de l’exonération prévue à l’article 14, paragraphe 1, de la directive « E-commerce », étant donné qu’ils ne jouent pas un « rôle actif » de nature à leur conférer une connaissance du caractère illicite des informations en question (11). L’avocat général précise néanmoins que l’exonération prévue est, en toute hypothèse, limitée à la responsabilité susceptible de résulter des informations stockées, et ne s’étend pas aux autres aspects de l’activité de l’exploitant en question (12).
• La demande d’injonction judiciaire à l’égard des exploitants de plateformes en ligne : une éventuelle possibilité indépendante de la responsabilité. Enfin, l’avocat général propose à la CJUE de juger que, indépendamment de la question de la responsabilité, les titulaires de droits peuvent obtenir, en vertu du droit de l’Union européenne, des injonctions judiciaires à l’encontre des exploitants de plateformes en ligne, susceptibles de leur imposer des obligations (13). En effet, l’article 8, paragraphe 3, de la directive « DADVSI » oblige les États membres à veiller à ce que les titulaires de droits puissent demander qu’une ordonnance sur requête soit rendue à l’encontre des intermédiaires dont les services sont utilisés par un tiers pour porter atteinte à un droit d’auteur ou à un droit voisin. En ce sens, les titulaires de droits doivent pouvoir demander de telles injonctions dès lors qu’il est établi que des utilisateurs portent atteinte à leurs droits, via les services de YouTube et Uploaded, sans devoir attendre qu’il y ait eu récidive et sans avoir à démontrer un comportement fautif de l’intermédiaire (14). Henrik Saugmandsgaard Øe indique toutefois que les mesures prises à l’encontre de YouTube et Uploaded dans le cadre d’une injonction doivent être proportionnées. A ce titre, ces mesures doivent assurer un juste équilibre entre les différents droits et intérêts en jeu et ne doivent pas créer d’obstacles aux utilisations licites du service de ces exploitants.
Le délai de transposition de la directive « DADVMUN » expire le 7 juin 2021. Une fois applicable, cette nouvelle directive devrait durablement changer le régime de responsabilité des exploitants de plateformes en ligne telles que YouTube et Uploaded, notamment en ce qui s’agit des œuvres illégalement mises en ligne par les utilisateurs. Un fournisseur de services de partage de contenus en ligne sera considéré comme responsable d’un acte de communication au public lorsqu’il permettra au public l’accès à des œuvres protégées par le droit d’auteur, mises en ligne par ses utilisateurs (15). Un tel fournisseur devra lui-même obtenir une autorisation des titulaires de droits, en concluant un accord de licence, par exemple, pour les œuvres mises en ligne par ses utilisateurs (16). Ces nouvelles responsabilités prévues par la directive « DADVMUN » sont inscrites dans le fameux article 17 plus que jamais controversé, comme l’illustre la lettre d’organisations de la société civile adressée le 14 septembre (17) à la Commission européenne qui a esquissé cet été ses lignes directrices sur l’application de cet article 17 (18).
Sous le régime de la future directive, il est probable que l’avocat général de la CJUE aurait conclu différemment en tenant YouTube et Uploaded responsables des actes illicites de communication au public réalisés par l’intermédiaire de leurs plateformes, à défaut d’obtenir une autorisation des titulaires de droits. Cette fois ci sans plus trouver refuge dans l’exonération de responsabilité prévue par la directive « E-commerce ».

Fin des privilèges, fin des impunités
La Révolution française donna raison à Pierre-Augustin Caron de Beaumarchais en mettant un terme au privilège des acteurs de la Comédie-Française qui pouvaient librement jouer les pièces en ne reversant que des rémunérations minimes aux auteurs. C’est à la fiction du « tout gratuit » que la directive « DADVMUN » vient mettre un terme, en appelant justement à la responsabilisation des citoyens et en sonnant la fin de l’impunité des plateformes qui doivent désormais se doter de mesures techniques afin d’identifier les contenus protégés mis en ligne. @