Le « Cloud Act » américain est-il une menace pour les libertés des citoyens européens ?

La controverse née avec l’affaire « Microsoft » sur la localisation
des données prend fin avec le « Cloud Act » dans lequel le Congrès américain précise que la localisation physique de données n’est pas
un élément pertinent lorsqu’un juge américain émet un mandat de perquisition.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 23 mars 2018, le Congrès américain a adopté une disposition qui modifie le code de procédure pénale afin de préciser que la localisation physique de données n’est pas un élément pertinent lorsqu’un juge américain émet un mandat de perquisition. De plus, cette disposition prévoit la mise en place d’accords bilatéraux entre pays ayant un niveau de protection adéquat des libertés individuelles, afin de faciliter l’échange de données dans le cadre d’enquêtes criminelles.

Plus de garanties aux Européens
Certains voient dans le « Cloud Act » – pour Clarifying Lawful Overseas Use of Data Act (1) – une menace pour les libertés des citoyens européens et une possible mise en cause de l’accord « Privacy Shield », le bouclier vie privée (2). En réalité, le Cloud Act sert simplement rétablir une situation qui existait avant la décision de la Cour d’appel américaine dans l’affaire Microsoft. Cette décision de 2016 de la Cour d’appel de Manhattan contredisait d’autres décisions qui estimaient qu’un juge pouvait ordonner la communication de toutes données sous le contrôle direct ou indirect de l’entreprise en cause, peu importe la localisation des serveurs (3). En raison de cette décision «Microsoft » (4), la Cour suprême des Etats-Unis s’apprêtait à rendre une décision sur l’interprétation de cette disposition du code de procédure pénale. Le Congrès américain a réagi plus vite en adoptant le Cloud Act, lequel met fin donc à cette controverse.
Aux Etats-Unis comme en France, il existe deux corps de lois relatifs à la collecte de données par les autorités : en premier lieu, le code de procédure pénale qui régit les enquêtes criminelles ; en deuxième lieu, les dispositions sur la collecte de données dans le cadre des activités de renseignement. Aux Etats-Unis, ces dernières dispositions se trouvent dans le « code de l’espionnage et de la guerre ». En France, ces dispositions se trouvent dans le « code de la sécurité intérieure ». La controverse entre l’Europe et les Etats-Unis après l’affaire Snowden concernait les activités de renseignement (5). Après l’arrêt « Schrems » de la Cour de Justice de l’Union européenne (CJUE) (6), la Commission européenne et le gouvernement des Etats-Unis ont négocié des changements afin de garantir que les citoyens européens ne font pas l’objet d’une surveillance de masse et bénéficient de certaines garanties qui n’existaient pas auparavant. Ces garanties n’ont pas été abrogées par l’administration Trump et le mécanisme du « Privacy Shield » reste intact pour l’instant. Les dispositions du récent Cloud Act ne concernent pas ces activités de renseignements. Il s’agit uniquement d’enquêtes criminelles encadrées par le code de procédure pénale américain. Le Cloud Act concerne une partie de ce code qui permet à un juge saisi par le procureur d’ordonner à un fournisseur de services de communiquer des données relatives à une personne suspectée d’avoir commis un crime. C’est la même procédure que celle appliquée lorsqu’il faut fouiller la maison d’un suspect. Le niveau de preuves et de garanties des droits individuels est à son niveau le plus élevé, car le procureur doit démontrer l’existence d’un faisceau d’indices concordants indiquant qu’une personne identifiée a bien commis un crime et que les preuves se situent probablement à tel ou tel endroit. Un mandat de ce type ne peut être délivré afin d’« aller à la pêche » pour des renseignements.
La logique est complètement différente de celle applicable en matière de renseignements où l’objectif est justement d’aller à la pêche pour des signaux faibles indiquant la présence de menaces graves contre les intérêts de l’Etat. Les dispositions du code de procédure pénale amendées par le Cloud Act ne font aucune différence entre les citoyens américains et les autres. Par conséquent, un Européen qui est visé par une enquête criminelle aux Etats-Unis bénéficie des mêmes garanties qu’un Américain. En matière de renseignements, la situation est différente. A l’origine,
les lois sur le renseignement aux Etats-Unis accordaient moins de droits
aux personnes situées en dehors du sol américain. C’était l’un des points principaux qui posait problème dans l’affaire « Privacy Shield » et qui a poussé l’administration américaine à accorder plus de garanties aux Européens dans le contexte des activités de renseignements.

Documents localisés à l’étranger
Avant la décision de la Cour d’appel dans l’affaire Microsoft, la plupart des tribunaux américains admettaient la possibilité d’ordonner la production de documents sous le contrôle direct ou indirect du prestataire, peu importe la localisation physique des données. Ainsi, si le prestataire pouvait avoir accès aux documents, le juge estimait qu’il était légitime d’exiger leur communication, même si ces documents étaient localisés à l’étranger.
La Cour d’appel fédérale a pris le contrepied de cette jurisprudence en décidant que la loi sur les mandats de perquisition ne permettait pas à
un juge d’ordonner la communication de documents localisés à l’étranger. La Cour suprême s’est saisie de la question mais a mis fin à l’affaire lorsque le Congrès américain a adopté le Cloud Act qui précise justement que la localisation physique des serveurs n’est pas importante en matière de mandat de perquisition.

Droit international et accords bilatéraux
Il faut rapprocher cette disposition de l’article 57-1 du code de la procédure pénale en France, lequel précise que les réquisitions concernent les données situées à l’étranger dès lors qu’il existe un point d’accès autorisé
en France et que la mesure n’est pas en contradiction avec le droit international. L’article 18 de la convention du Conseil de l’Europe sur la cybercriminalité – à laquelle les Etats-Unis sont signataires – évoque également la possibilité d’ordonner la communication d’informations
« sous le contrôle » du prestataire. Cette convention permet à une autorité d’ordonner : « à une personne présente sur son territoire de communiquer les données informatiques spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatique ou un support de stockage informatique ; et à un fournisseur de services offrant des prestations sur le territoire de la Partie, de communiquer les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services » .
Le Cloud Act rétabli la situation qui existait avec la décision de la Cour d’appel de 2016. Le débat dans chaque situation sera de savoir si les données sont « en la possession ou sous le contrôle » d’un prestataire.
Le deuxième apport du Cloud Act est de permettre la conclusion d’accords bilatéraux permettant aux autorités judiciaires de pays « amis » de pouvoir ordonner la communication rapide de documents sans passer par les procédures plus lourdes d’entraides judiciaires. En plus de la convention
du Conseil de l’Europe, les procédures d’entraides judiciaires actuelles s’appuient sur les accords bilatéraux de coopération dénommés MLAT (Mutual Legal Assistance Treaty). Le système actuel d’entraide judiciaire n’est plus adapté au volume d’affaires nécessitant de telles coopérations en matière de données. Un groupe de travail au niveau du Conseil de l’Europe planche sur le sujet, ainsi que la Commission européenne qui vient de proposer un règlement « e-evidence » – pour electronic evidence, ou preuves électroniques – pour faciliter l’accès aux données pour les juges.
Le Cloud Act s’inscrit donc dans cette tendance générale qui vise à trouver des mécanismes de coopération plus efficace entre autorités judiciaires, notamment pour les enquêtes sur les crimes les plus graves. Le Cloud Act permet aux opérateurs de communications électroniques et prestataires
de cloud de répondre à des requêtes judiciaires émises par un pays ayant conclu un accord avec les Etats-Unis.
Ces accords seraient autorisés uniquement avec des pays qui respectent les mêmes valeurs constitutionnelles que les Etats-Unis en matière d’enquêtes judicaires. Un tel accord est en négociation avec le Royaume-Uni et d’autres pays européens pourraient suivre. Pour un Européen, il paraît surprenant que les Etats-Unis insistent sur l’existence d’une protection adéquate en matière de libertés individuelles. Généralement, c’est tout le contraire : l’Europe reproche aux Etats-Unis l’absence de protection adéquate. Cependant, en matière d’enquêtes judiciaires, l’Europe et les Etats-Unis partagent à peu de choses près les mêmes systèmes de protection des individus. Aux Etats-Unis, ces protections découlent du 4e Amendement de la Constitution qui, depuis 1789, protège l’individu contre diverses formes de perquisitions par les autorités de police. Les règles de procédure dans le « Stored Communication Act » (7) et le Cloud Act respectent ces principes, et ne font aucune différentiation entre des citoyens américains et des citoyens européens. L’Europe et les Etats-Unis sont généralement sur la même longueur d’onde en matière d’enquêtes judiciaires, ce qui n’est pas le cas
en matière de renseignement où les suspicions européennes restent fortes. Et le droit international dans tout ça ? Le principe de « courtoisie internationale » (8) oblige chaque autorité à tenir compte de l’existence de lois étrangères et de s’efforcer d’éviter des conflits avec ces lois. Dans les procédures de discovery en matière civile, les juges américains reconnaissent de plus en plus l’importance des lois européennes en matière de protection des données à caractère personnel, et prennent ces lois en considération. Le Cloud Act inscrit le principe de courtoisie internationale dans la loi en matière de procédures pénales, mais uniquement à l’égard des accords bilatéraux de coopération.

Le RGDP : une barrière à la coopération ?
L’article 48 du règlement général sur la protection des données personnelles (RGDP, ou, en anglais GDPR), lequel est entré en vigueur depuis le 25 mai 2018, semble interdire tout échange de données en dehors d’une procédure d’entraides judiciaires. Selon la Commission européenne, cet article 48 n’est pas aussi catégorique et permet d’autres bases légales de transfert vers des autorités étrangères. Dans son amicus brief (9) devant la Cour suprême dans Etats-Unis, dans le cadre de l’affaire Microsoft, la Commission européenne a souligné que le RGPD tolérait des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. L’article 48 n’est donc pas une barrière infranchissable. @

La Commission européenne veillera à ce qu’Android de Google et iOS d’Apple respectent l’Internet ouvert

Après une occasion manquée en 2010 de légiférer en Europe en faveur de la
« neutralité des terminaux », l’Arcep remonte au créneau – via le Berec – pour que la neutralité du Net ne se limite pas à l’accès aux réseaux. Il y a urgence à
ce que la Commission européenne s’empare du problème.

« Le cadre protégeant l’ouverture d’Internet étant aujourd’hui européen, il conviendrait que le législateur européen s’empare de ce sujet [de savoir si les terminaux numériques, smartphones en tête, respectent la neutralité de Internet, ndlr]. La dimension éminemment internationale des fabricants de terminaux et des éditeurs de systèmes d’exploitation conduit également à penser qu’à terme, l’échelle pertinente pour agir devrait être européenne », a conclu l’Arcep dans son rapport publié mi-février et intitulé « Smartphones, tablettes, assistants vocaux, … : les terminaux, maillon faible
de l’Internet ouvert » (1).

La balle est dans le camp de Bruxelles
Mais afin que Bruxelles fasse des propositions de mesures pour que les fabricants de terminaux – tels que Apple sous iOS ou Samsung sous Android (Google) – respectent le règlement « Internet ouvert » du 25 novembre 2015, l’Organe des régulateurs européens des communications électroniques (Berec) va l’y aider. Selon les informations obtenues auprès de Jennifer Siroteau (photo), responsable de l’analyse économique et de l’intelligence numérique à l’Arcep, « le Berec va publier à l’issue
de sa plénière des 8 et 9 mars son propre rapport sur les terminaux, intitulé “Report
on the impact of premium content on ECS (2) markets and effect of devices on the Openness of the Internet use” » (3). Si l’Arcep a bien l’intention de « mettre en oeuvre dès maintenant à l’échelle nationale » les pistes d’action qu’elle a formulées dans son rapport, c’est, dit-elle, « avec l’ambition de stimuler des démarches européennes ». D’ailleurs, le Bureau européen des unions de consommateurs (Beuc) et une demie douzaine de responsables européens d’entreprises font partie des personnes auditionnées, ayant participé aux ateliers ou répondu à la consultation publique de l’Arcep. Mais l’on peut regretter et s’étonner que celle-ci n’ait pas eu affaire à au moins un représentant de la Commission européenne. Qu’à cela ne tienne. Depuis le fameux règlement du 25 novembre 2015 « établissant des mesures relatives à l’accès à un Internet ouvert » (4) et les lignes directrices du 30 août 2016 édictées par le Berec
« pour la mise en oeuvre de ces nouvelles règles par les autorités de régulation nationales » (5) depuis avril 2016, la protection de la neutralité de l’Internet – que
ces textes ont préféré appeler « Internet ouvert » – est un engagement à l’échelle de l’Europe. Et les terminaux n’échappent pas à ce cadre protecteur pour les consommateurs. A preuve : le règlement européen mentionne une quinzaine de fois le terme « terminaux » ! De plus et surtout, le premier paragraphe de son article 3 lève toute ambiguïté : « Les utilisateurs finals ont le droit d’accéder aux informations et aux contenus et de les diffuser, d’utiliser et de fournir des applications et des services et d’utiliser les équipements terminaux de leur choix, quel que soit le lieu où se trouve l’utilisateur final ou le fournisseur, et quels que soient le lieu, l’origine ou la destination de l’information, du contenu, de l’application ou du service, par l’intermédiaire de leur service d’accès à l’Internet ». Les eurodéputés ont ainsi voulu dissocier le terminal –
les smartphone en tête, mais aussi les tablettes, les ordinateurs ou encore les assistants vocaux – de l’offre d’accès des, justement, fournisseurs d’accès à Internet (FAI).
Surtout que ce même article 3 du règlement « Internet ouvert » prévoit que l’exercice par les internautes et les mobinautes des droits énoncés dans ce premier paragraphe ne peut pas être limité par « des accords (…) sur les conditions commerciales et techniques et les caractéristiques des services d’accès à l’internet, telles que les prix, les volumes de données ou le débit, et toutes pratiques commerciales mises en oeuvre par les [FAI] ». Bref, pour l’Union européenne, la neutralité du Net ne s’arrête pas aux réseaux d’accès des opérateurs télécoms : les fabricants de terminaux et éditeurs de systèmes d’exploitation – comme iOS pour Apple et Android pour Google – sont eux aussi concernés. D’autant que les mobiles évoluent dans des écosystèmes
« propriétaires » capables de limiter leurs utilisateurs dans l’accès à certains contenus et services sur Internet, et, partant, d’en restreindre les usages en violation de l’Internet ouvert.

Une occasion manquée entre 2010 et 2014
Pour autant, souligne l’Arcep dans son rapport, « si le règlement européen sur l’Internet ouvert consacre la liberté de choix et d’usage du terminal, il n’impose pas d’obligation spécifique aux équipementiers et constructeurs de terminaux, ni aux autres maillons logiciels de la chaîne technique [entre l’utilisateur final et les contenus, voir schéma
ci-dessous, ndlr] ». Le régulateur français a eu le mérite de suggérer dès 2010 « un renforcement de la surveillance de la neutralité au niveau des terminaux et de leur couche logicielle ». Car la neutralité des réseaux suppose aussi une neutralité des terminaux. L’Arcep appelait alors dans un rapport sur la neutralité de l’Internet (6) à
un « renforcement de la neutralité des terminaux » en incitant déjà la Commission européenne à prendre des mesures dans ce sens. A l’époque, l’Arcep suggérait d’inscrire les dispositions en faveur de la neutralité des terminaux dans le cadre de
la révision de la directive européenne RTTE de 1999 sur les équipements de radio et terminaux de télécommunications (7). Sans succès : ce texte communautaire, abrogé en 2016, fut bien remplacé par la nouvelle directive RED de 2014 sur les équipements radioélectriques (8), mais celle-ci a in fine fait l’impasse sur la neutralité des terminaux. Et ce n’est pas faute pour l’Arcep d’avoir pointé il y a près de huit ans maintenant « la généralisation d’environnements propriétaires fermés limitant la liste et le type des applications pouvant être installées, des navigateurs utilisables, ou des sites accessibles – ceci de manière relativement indépendante des opérateurs ».

Applis préinstallées : choix imposés
Aujourd’hui, l’absence de neutralité des terminaux s’est doublée d’un risque d’abus de position dominante au détriment de la neutralité du Net. « Outre les barrières à l’entrée résultant des effets de club qui caractérisent les marchés de plateformes en général, le succès de systèmes d’exploitation mobiles concurrents à Android et iOS paraît donc compliqué. Faute de l’aiguillon d’une concurrence intense, les éditeurs de systèmes d’exploitation en place pourraient adopter des comportements susceptibles de remettre en cause l’ouverture d’Internet », met en garde le gendarme des télécoms. Pour autant, comme le souligne Jennifer Siroteau, « l’Arcep constate qu’il n’y a pas lieu, à ce jour, de considérer que les fabricants de terminaux ne respectent pas le règlement de 2015 : en effet, ces derniers ne sont pas visés par ce règlement ». Sans préjuger de ce que fera la Commission européenne, interpellée par la France et par le Berec au niveau européen, l’on constate qu’elle n’est pas insensible à la question des terminaux – en particulier des mobiles où sont préinstallées, outre le système d’exploitation (vente liée), des applications telles que moteur de recherche, service de messagerie, espace de cloud, service de vidéo, cartographie ou encore navigateur. Sauf exception, les mobinautes téléchargent rarement des applications aux mêmes fonctionnalités que
des « applis » préinstallées dont les choix sont imposés au client. En avril 2015, la Commission européenne a ouvert une enquête antitrust sur l’écosystème d’Android de Google sur lequel fonctionnent la très grande majorité des smartphones en Europe (Samsung en tête). En avril 2016, la procédure a été notifiée à sa maison mère Alphabet accusée d’abus de position dominante sur son système d’exploitation Android, son magasin d’applications Google Play Store et son moteur de recherche sur mobile Google Search. Le verdict était attendu pour… décembre 2017.
Bruxelles pointe notamment l’obligation faite aux fabricants de smartphones sous Android de préinstaller des applis Google s’ils souhaitent fournir l’accès à Google Play Store. Concernant cette fois la transparence des critères de référencement et de classement utilisés par les App Stores (mais aussi de politiques éditoriales, de règles
et délais de validation, de suppression des contenus, de documentation ouverte, …), la Commission européenne a prévu pour le printemps 2018 l’élaboration d’un « règlement sur la transparence des relations contractuelles entre entreprises et plateformes ». @

Charles de Laubier

Vous aimez déjà les GAFA américains ? Vous allez bientôt adorer les BATX chinois !

Google, Apple, Facebook et Amazon pour GAFA : les géants américains du
Net sont connus de tous. Baidu, Alibaba, Tencent et Xiaomi pour BATX : leurs homologues chinois restent à découvrir. Edition Multimédi@ passe en revue
ces chinois qui se mettent en quatre pour conquérir le monde, dont l’Europe.

Les BATX sont valorisés ensemble jusqu’à 1.246 milliards de dollars, contre
2.895 milliards de dollars pour les GAFA (au 25-01-18). Mais Tencent dépasse la capitalisation boursière de Facebook et investit dans Spotify, Snap et Skydance.
La bataille de titans est engagée. Alibaba s’étend en Europe jusqu’en France. Xiaomi débarque en Espagne. Baidu, déjà présent à Amsterdam avec Baidu TV, arrive… en voiture autonome.

Le B de Baidu
Création : 18 janvier 2000. Siège : Pékin
PDG cofondateur : Li Yanhong « Robin » (photo) Principales activités : premier moteur de recherche
en Chine (le « Google chinois »), plateforme vidéo
iQiyi, contenus multimédias (musiques, films, séries,
jeux vidéo, …), publicité en ligne, cloud, etc.
Audience : 800 millions d’utilisateurs actifs
Chiffre d’affaires 2016 : 11 milliards de dollars
Résultat net 2016 : 2 milliards de dollars
Capitalisation boursière (au 25-01-18) : 89,2 milliards de dollars (« BIDU »
au Nasdaq)
Investissements ou partenariats récents : avec BlackBerry dans les voitures autonomes (2018), avec Microsoft dans la voiture autonome (2017), Continental
dans la voiture autonome (2017), dans l’intelligence artificielle, etc. @

 

• Le A de Alibaba
Création : 4 avril 1999. Siège : Hangzhou
PDG cofondateur : Jack Yun Ma (photo)
Principales activités : numéro un du e-commerce en Chine avec Alibaba.com (« Amazon chinois »), plateforme vidéo Youku Tudou (« YouTube chinois »), le microblogging Sina Weibo (« Twitter chinois »), place de marché d’enchères Taobao (Tmall.com, « eBay chinois »),
e-paiement Alipay, boutique 9Apps, cloud alias Aliyun, publicité en ligne, magasins en dur, etc.
Audience : 550 millions d’utilisateurs actifs sur mobile
Chiffre d’affaires 2017 : 24 milliards de dollars Résultat net 2017 : 6 milliards de dollars
Capitalisation boursière (au 25-01-18) : 500,7 milliards de dollars (« BABA » au Nyse)
Investissements ou partenariats récents : en France un centre de logistique (2018), Alibaba Cloud en Allemagne, avec Auchan/Sun Art en Chine (2017), etc. @

 

• Le T de Tencent
Création : 11 novembre 1998. Siège : Shenzhen
PDG cofondateur : Ma Huateng « Pony » (photo) Principales activités : messagerie instantanée QQ,
portail web QQ.com, application mobile de messagerie-réseau social-boutique WeChat (alias Weixin), plateforme de musique en ligne Tencent Music, éditeur de jeux vidéo comme « Honor of Kings », plateforme de gaming WeGame, etc.
Audience : Plus de 980 millions d’utilisateurs actifs sur WeChat
Chiffre d’affaires 2016 : 22 milliards de dollars
Résultat net 2017 : 6 milliards de dollars Capitalisation boursière(au 25-01-18) : 556,5 milliards de dollars (« 700:HK » Hong Kong)
Investissements ou partenariats récents : entrée au capital de Skydance (2018), ralliement de Google en Chine (2018), partenariat avec Carrefour (2018), participations croisées avec Spotify (2017), participation dans Tesla pour la voiture électrique (2017), participation dans Snap (2017), avec Ubisoft dans les jeux mobiles en Chine (2018), avec Lego dans jeux en ligne/réseau social (2017), dans la voiture autonome, dans le streaming musical avec Alibaba en Chine, etc. @

 

• Le X de Xiaomi
Création : 6 avril 2010. Siège : Pékin
PDG cofondateur : Lei Jun (photo)
Principales activités : cinquième fabricant mondial de smartphones (Mi Phone, Redmi Phone), fabricant ses propres microprocesseurs (le « Apple chinois »), fabricant de téléviseurs (Mi TV), et de « box » multimédia (Mi Box)
et d’ordinateurs ultraportables (Mi Notebook), fabricant d’objets connectés, cloud (Mi Cloud), etc.
Ventes : environ 110 millions de smartphones en 2017 (estimation sur 7,4 % de PDM) Chiffre d’affaires 2017 : 17 ou 18 milliards de dollars
Résultat net 2017 : au moins 1 milliard de dollars
Valorisation financière (introduction en Bourse en 2018) : 50 à 100 milliards de dollars Investissements ou partenariats récents : en Europe de l’Ouest avec une première implantation en Espagne (2017), malgré son échec pour y enregistrer sa marque de tablette « Mi Pad » (contestée par Apple), accord de licence de brevets avec Nokia (2017), accord de licence de brevets avec Microsoft (2016), etc. @

La Commission européenne plaide pour le respect du droit international dans l’affaire «Microsoft Irlande»

Dans l’affaire du stockage des données en Irlande qui oppose Microsoft au gouvernement américain, la Commission européenne a déposé un mémoire devant la Cour suprême des Etats-Unis dans lequel elle plaide pour une application des principes de « territorialité » et de « courtoisie internationale ». Explications.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le contentieux qui oppose depuis 2014 la société Microsoft et
le gouvernement américain à propos des e-mails stockés en Irlande est maintenant devant la Cour suprême des Etats-Unis.
Ce litige concerne la portée éventuellement extraterritoriale des réquisitions judiciaires américaines dans le cadre d’enquêtes pénales. La police américaine avait demandé à Microsoft de livrer une copie de certains e-mails échangés par une personne soupçonnée d’activités criminelles.

Règles de bon voisinage entre Etats
Les e-mails étant stockés en Irlande et sous le contrôle de la société Microsoft Irlande, la firme de Redmond (Etat de Washington) s’était opposée à la réquisition, en indiquant qu’il fallait passer par les procédures de coopération internationale en matière d’enquêtes pénales. La Cour d’appel de Manhattan avait donné raison en 2016 à Microsoft, en indiquant que la loi fédérale sur les réquisitions était silencieuse sur l’éventuelle portée extraterritoriale des réquisitions et qu’une telle portée ne pouvait
pas être déduite de manière implicite. Le gouvernement américain avait porté l’affaire devant la Cour suprême des Etats-Unis. C’est là qu’intervient la Commission européenne, qui, en décembre 2017, a déposé un mémoire (amicus brief) pour éclairer la Cour suprême sur certains aspects de droit international (1). La Commission européenne plaide pour une application du principe de la territorialité et du principe de courtoisie internationale. Ces principes revêtent une importance croissante dans toutes les affaires concernant la régulation des activités numériques, ces activités étant par nature transnationales.
Le droit international part du principe que chaque Etat doit respecter la souveraineté des autres Etats. Ce respect se manifeste par le respect des eaux territoriales et des frontières physiques entre Etats. La violation d’une frontière d’un autre Etat est une violation du droit international. Ce respect se manifeste également par une prise en considération des lois en vigueur dans les autres pays. Ces principes de « bon voisinage » entre Etats se traduisent par les deux concepts de droit international évoqués par la Commission européenne, à savoir : le principe de « territorialité » et
le principe de « courtoisie internationale ». Le principe de territorialité signifie que les lois d’un Etat s’appliquent à l’intérieur du territoire de l’Etat en question et non sur le territoire d’un pays tiers. Il existe des exceptions à ce principe, mais celles-ci sont extrêmement limitées (il s’agit de cas d’occupation militaire, par exemple, d’un territoire étranger). La courtoisie internationale signifie que lorsqu’une loi produit des effets dans un autre Etat, le premier Etat doit prendre en considération les lois de cet autre Etat afin de minimiser les conflits avec les lois de cet autre Etat.
Appliqués dans l’affaire Microsoft, ces principes impliqueraient, en premier lieu, que
la police américaine ne peut pas effectuer une perquisition sur le territoire de l’Irlande, puisque le pouvoir de la police et l’étendue territoriale de la loi américaine s’arrêtent
aux frontières des Etats-Unis. En second lieu, la courtoisie internationale commanderait que lorsqu’un juge américain ordonne à Microsoft d’extraire des données et de les communiquer à la police aux Etats-Unis, le juge doit se demander si cette action serait en violation des lois irlandaises applicables. Si c’est le cas, le juge doit chercher une voie qui éviterait un tel conflit. La Commission européenne indique qu’il existe des mécanismes d’entraide internationale en matière d’enquête policière et que le règlement général sur la protection des données à caractère personnel (RGPD) de 2016 (2) ne s’oppose pas à des réquisitions de ce type, à condition d’utiliser la convention internationale. La Commission européenne cite le considérant 110 du RGPD, qui prévoit que l’application extraterritoriale de réquisitions judiciaires peut constituer une violation du droit international et qu’une entreprise établie en Europe
doit donc appliquer les lois locales.

Territorialité et activités de renseignement
Le groupe « Article 29 » (G29), qui réunit les « Cnil » européennes, préconise également un respect strict des règles de droit international afin de ne pas créer des conflits avec des lois d’autres pays (3). Les pays signataires de la Convention du Conseil de l’Europe sur la cybercriminalité (4) tentent justement de trouver un terrain d’entente afin de faciliter l’échange de données au niveau international sans violer
les principes de territorialité et de courtoisie internationale (voir encadré ci-dessous). L’affaire Microsoft concerne en outre les enquêtes pénales. Le droit international est également mis à l’épreuve par les activités de renseignement. Jusqu’à 2015, il n’existait pas en France de cadre légal pour la conduite des activités de renseignement à l’étranger.

Contenus illicites et fake news
La loi française sur les activités de renseignement de 2015 (5) a créé un cadre pour ces activités. Après censure du Conseil constitutionnel, la loi a été modifiée afin de donner plus de garanties aux individus ciblés par ces activités de surveillance extraterritoriales. Cependant, le niveau des garanties accordées par la loi française aux individus résidant à l’étranger est plus faible que les garanties accordées aux résidents et citoyens français. Deux poids, deux mesures : un résidant espagnol bénéficie de moins de garanties qu’un résidant français en matière de surveillance. Cette différence de traitement surprend, car ni la Charte européenne des droits fondamentaux (adoptée le 7 décembre 2000) ni la Convention européenne des droits de l’homme (signé le 4 novembre 1950) ne prévoient une quelconque différence de protection en fonction de la résidence ou de la nationalité de la personne.Les règles de droit international jouent un rôle important dans la lutte contre des contenus illicites sur Internet. Chaque pays a sa propre définition de contenus illicites, fixée en fonction du contexte culturel et historique du pays. Dans certains pays, des contenus blasphématoires sont interdits. Dans d’autres, il s’agit des contenus qualifiés de propagande homosexuelle. Les conflits entre lois nationales sont fréquents, comme en témoigne l’affaire Yahoo en 2000 concernant la vente d’objets nazis (6). La mise aux enchères d’objets nazis n’est pas interdite aux Etats- Unis et serait même protégée par la liberté d’expression. En revanche, ces mêmes contenus sont considérés en France comme outrepassant la liberté d’expression. Les plateformes Internet étant globales, il serait tentant pour un juge national d’ordonner le retrait pur et simple du contenu afin qu’il ne soit plus visible où que ce soit dans le monde. Cependant, une telle approche serait en contradiction avec les principes de droit international mis en avant par la Commission européenne dans l’affaire Microsoft. Cela ouvrirait la voie à une surenchère internationale où chaque pays essayerait d’appliquer ses propres normes en matière de contenus au monde entier, en contradiction totale avec les des règles de courtoisie internationale et de territorialité. Depuis l’affaire Yahoo, les juges nationaux font justement preuve de prudence lorsqu’ils ordonnent le blocage de contenus sur Internet, en limitant les effets de leurs décisions au territoire national. Le Tribunal de grande instance de Paris a reconnu que Yahoo, par un système de géo-blocage, pouvait tout simplement bloquer l’accès au contenu pour les utilisateurs situés en France, ce qui est une manière d’appliquer la loi française à l’intérieur du territoire national sans créer de conflit avec la loi américaine. Même si le pouvoir du juge s’arrête aux frontières nationales, les actions d’autorégulation, notamment par les plateformes, peuvent avoir une dimension transnationale. La Commission européenne, à l’origine de la création d’un groupe de haut niveau sur les fake news (High Level group on Fake News) qui tient sa réunion inaugurale en janvier 2018 (7), privilégie l’angle de l’autorégulation (self-regulation) et du partage des bonnes pratiques (shared good practices) pour le phénomène du fake news (8). Le Conseil d’Etat préconise, quant à lui, l’adoption d’une convention internationale relative aux libertés fondamentales et aux principes de gouvernance d’Internet, ainsi que la mise
en place de dispositifs fondés sur l’autorégulation des opérateurs, à travers la mise
en conformité (compliance) et leur responsabilisation (accountability) (9).

Atténuer les contraintes par l’autorégulation
Le respect du droit international impose des contraintes, et notamment l’utilisation de procédures de coopération internationale. Certaines de ces contraintes peuvent être atténuées grâce à des mécanismes efficaces d’autorégulation en matière de contenus illicites sur Internet. @

ZOOM

Convention de Budapest : vers une coopération internationale renforcée
La Convention de Budapest sur la Cybercriminalité a été ouverte à la signature
en 2001. Elle a été complétée en 2013 par un « Protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques » (https://lc.cx/gWWx). « Alors que prospèrent la cybercriminalité et les autres infractions entraînant des preuves électroniques sur des systèmes informatiques, et que ces preuves sont de plus en plus stockées sur des serveurs hébergés dans des juridictions étrangères, multiples, fluctuantes ou inconnues, autrement dit dans le cloud, les pouvoirs des services répressifs sont limités par les frontières territoriales », a souligné le Conseil de l’Europe le 2 novembre 2017 en vue de renforcer la coopération internationale sur la cybercriminalité et les preuves électroniques. Les Parties à la Convention de Budapest, à savoir 56 Etats auxquels
14 autres ont été invités à y adhérer, ont organisé de 2012 à 2014 un groupe de travail sur l’accès transfrontière aux données, puis de 2015 à 2017, un groupe sur les preuves dans le cloud. Il s’agit notamment de négocier d’ici à décembre 2019, un deuxième protocole additionnel à la Convention de Budapest sur une coopération internationale renforcée. @

Devenu géant de la Silicon Valley, Nvidia a 25 ans

En fait. Le 7 janvier au soir à Las Vegas, ce fut « Sunday Night Fever » pour Nvidia, la plus en vue des sociétés de la Silicon Valley. Après être devenue une icône du jeu vidéo (puces et cartes graphiques, consoles, Cloud Gaming, …), la voici qui se diversifie. En un an, son action en Bourse a bondi de plus de 100 %.

En clair. La société américaine Nvidia, installée depuis avril 1993 à Santa Clara mais enregistrée fiscalement dans l’Etat attractif du Delaware depuis avril 1998, commence très bien l’année de ses 25 ans d’existence. Cofondé par l’Américano- Taïwanais Jensen Huang, actuellement son PDG, avec les Américains Chris Malachowsky, vice-président en charge de la technologie, et Curtis Priem, ingénieur et designer de puces graphiques (parti en 2003), le numéro un mondial des microprocesseurs graphiques s’est retrouvé sous le feu des projecteurs de Las Vegas avec ses annonces pour le CES.
Ayant forgé sa réputation avec de puissantes puces graphiques depuis l’invention en 1999 de la Graphics Processing Unit (GPU) et en étant le premier fabricant à franchir en 2008 – il y a dix ans – 1 milliard de transistors sur une même puce (1), Nvidia a fait de l’industrie du jeu vidéo ce qu’elle est devenue. Mais depuis cinq ans maintenant,
la rivale d’Intel, d’AMD et de Qualcomm – tous touchés par la faille de sécurité – se diversifie à tour de bras. En plus de ses puces « GeForce » allant jusqu’à 10 milliards de transistors pour des affichages exigeants sur les écrans à destination des gamers, des teenagers et des designers, ses activités se sont étendues à partir de 2013 à la fabrication de consoles de jeux et de « box » multimédias : Shield Portable, Shield Tablet et Shield Android TV, sans oublier sa plateforme GeForce Now de Cloud Gaming en streaming lancée en 2012 sous le nom de GeForce Grid. Sa conquête de nouveaux horizons se poursuit avec sa plateforme Drive IX (ex- Drive PX2) et ses nouvelles puces Xavier pour la voiture autonome avec de nombreux partenariats (Tesla, Volkswagen, Uber, Baidu, Volvo Cars/Autoliv, ZF Friedrichshafen, …) ainsi que dans l’intelligence artificielle et l’apprentissage profond (deep learning) où Nvidia s’est engouffré avec succès il y a dix ans. Et avec un grand écran 4K de 65 pouces BFGD, Nvidia s’affirme de plus en plus sur le marché TV.
En un an, son cours de Bourse a bondi de plus de 100 % et sa capitalisation au Nasdaq atteint plus de 134 milliards de dollars. Selon les prévisions des analystes financiers, son exercice fiscal « 2018 » en cours – en fait 2017/2018, car clos le 28 janvier prochain – devrait tutoyer les 10 milliards de dollars avec un résultat net record
de 2,6 milliards (2). Où l’on comprend que l’action ait doublé en un an. @

Comment le « Frenchie » Jean-Philippe Courtois est devenu le 2e dirigeant le mieux payé de Microsoft

C’est le Français le plus en vue de l’empire Microsoft : Jean-Philippe Courtois, entré en 1984 comme commercial dans l’entreprise fondée par Bill Gates, va gagner cette année presque autant que l’actuel patron de la firme de Redmond. Grâce à lui, Microsoft est devenu un « GAFAM » qui a su s’imposer dans le cloud – mais pas dans le mobile.

Au titre de la dernière année fiscale de Microsoft qui s’est achevée le 30 juin dernier, Jean-Philippe Courtois (photo) va toucher un total de 18,2 millions de dollars. C’est la première fois qu’un Français empochera la deuxième plus grosse rémunération de la firme de Redmond (Etat de Washington), après celle du PDG – Satya Nadella depuis 2014. Ce dernier
va en effet être rétribué 20 millions de dollars. Le « Frenchie » recevra ainsi la même somme que le patron Indo-américain obtenait il y a deux ans, après que celui-ci eut succédé à Steve Ballmer. Entré il y a 33 ans comme ingénieur commercial chez Microsoft France, dont il sera directeur général en 1994, Jean-Philippe Courtois est devenu le numéro deux de la multinationale américaine depuis sa nomination en juillet 2016 comme vice-président exécutif et président des ventes, du marketing et des opérations de Microsoft au niveau mondial (1). A cette fonction, pour le dernier exercice, il a ainsi perçu un salaire fixe de « seulement » 751.054 dollars mais a été récompensé en actions à hauteur de 14,7 millions de dollars (dont 8,6 millions de dollars en actions reçus lors de sa promotion), soit le « stock awards » le plus élevé du groupe devant celui du patron (11,4 millions de dollars). Ce à quoi il faut ajouter 2,7 millions de dollars d’intéressement au rendement, sans parler de 45.214 dollars reçus comme autres compensations.

Naissance en Algérie, consécration aux Etats-Unis
La rémunération de Jean-Philippe Courtois comme celles de ses quatre autres collègues du comité exécutif de Microsoft seront entérinées par l’assemblée générale des actionnaires qui se tiendra à Washington le 29 novembre. Avant d’être promu à la tête des 122 filiales du groupe dans le monde, Jean-Philippe Courtois était président de Microsoft International depuis juin 2005, après avoir été directeur général de la région EMEA (Europe, Moyen-Orient et Afrique) dont il s’est occupé durant cinq ans.
Ce Français né en Algérie (57 ans), à Maison-Carrée dans la banlieue d’Alger, est par ailleurs président de l’école de commerce Skema Business School, d’où il avait obtenu à Nice son diplôme (2), juste avant d’être recruté par la PME de l’époque fondée par
Bill Gates, ainsi que membre du conseil d’administration de Positive Planet (ex-PlaNet Finance) de Jacques Attali (né lui aussi en Algérie et ancien conseiller spécial de François Mitterrand).

Succès et échecs du « M » de GAFAM
C’est Jean-Philippe Courtois qui incarne le mieux la globalisation du groupe Microsoft, lequel affiche pour son dernier exercice – clos le 30 juin – un chiffre d’affaires tutoyant les 90 milliards de dollars (3), en hausse de 5 % sur un an, pour un bénéfice net bondissant de plus de 26% à 21,2 milliards de dollars. La capitalisation boursière de Microsoft a dépassé les 600 milliards de dollars. Dans la notice et déclaration publiée le 16 octobre dernier en vue de la prochaine assemblée générale, Microsoft ne tarit pas d’éloges pour son top dirigeant français qui a réalisé « un exercice financier annuel fort, dépassant les objectifs de contribution à la marge (du groupe) et à la croissance de 4 % de l’Executive Incentive Plan (EIP) ». De plus, poursuit le patron Satya Nadella cosignataire du document remis au gendarme de la Bourse américaine (la SEC (4)), Jean- Philippe Courtois « a mené avec succès la transformation de l’organisation globale de nos ventes ». A son palmarès, il y a aussi « la croissance de 99 % du chiffre d’affaires d’Azure [services de cloud pour les développeurs et professionnels de l’informatique, ndlr], accélérant plus avant les capacités des forces de vente dans la stratégie de cloud » pour mieux rivaliser avec le numéro un mondial des nuages, Amazon Web Services (AWS).
A son actif, il a aussi « renforcé l’expérience client et l’expérience partenaire » ou encore « il a été l’avocat de la diversité et de l’inclusion ». Après le décès de son fils Gabriel à 22 ans, en 2015, Jean-Philippe Courtois a par ailleurs créé l’association
Live for Good pour aider à la création d’entreprises sociales. Enfin, il a été félicité pour avoir appliqué les principes « One Microsoft » édictés en 2013 par Steve Ballmer dans le but de casser les silos des divisions commerciales et marketing, avec à la clé des synergies entre activités, faisant ainsi de la firme de Redmond un seul et même interlocuteur vis-à-vis de ses clients. Néanmoins, Microsoft a confirmé début juillet que cela n’ira pas sans la suppression de milliers d’emplois dans le monde (jusqu’à 5.000 personnes selon des médias), à commencer chez les commerciaux. En creux, cette réorganisation que le Frenchie a menée a contribué à mettre en ordre de bataille le groupe Microsoft face à la nouvelle concurrence des « GAFA » – sigle auquel il ambitionne d’apposer son « M ». Or, l’appellation « GAFAM » a du mal à percer dans les mondes de l’Internet et des mobiles. Et pour cause, Microsoft n’a pas su s’imposer comme géant du Net, notamment avec son portail MSN (pourtant pionnier en 1995), ancêtre de Windows Live devenu aujourd’hui Office 365. Avec Windows, son système d’exploitation (OS) qui constitue encore une position dominante sur le marché des ordinateurs personnels, et Office 365 qui dématérialise dans le cloud la suite des logiciels Word, Excel, Powerpoint ou encore Outlook, Microsoft s’est constitué avec
ces deux activités une rente de situation. La moitié des ventes d’Office 365 en 2017 (5) se fait dans les nuages. Résultat, les segments d’activité « Productivity and Business Processes » (Office 365, LinkedIn, Dynamics, …) et « More Personal Computing » (Windows, Surface, Xbox, Bing, …) génèrent à eux deux 77 % du chiffre d’affaires du groupe, mais surtout plus de 90 % de sa marge opérationnelle. Windows et Office sont ainsi les deux « vaches à lait » de la firme de Redmond. Pour l’instant… Car l’érosion des revenus du segment « Windows » se poursuit ; elle a été de – 4 % pour l’exercice 2016/2017 passant sous la barre des 40 milliards de dollars (à 38,7 précisément). C’est que Microsoft subit là de plein fouet le déclin continu du PC, qui a fait son heure de gloire et la fortune de Bill Gates devenu l’homme le plus riche du monde (6).
Le problème est que, dans le même temps, Microsoft a échoué dans le mobile : après avoir acquis à prix d’or l’activité de fabrication de téléphones portables du finlandais Nokia en 2013 pour 7,5 milliards de dollars, l’opération initiée par Steve Ballmer fut un échec cuisant. Après les « Nokia » sous Windows Phone, la greffe des Lumia n’a pas pris sur un marché dominé par Google (Android) et Apple (iOS). En juillet dernier, Microsoft a annoncé qu’il abandonnait son OS mobile lancé sept ans plus tôt mais n’ayant pas dépassé les 0,2 % de parts de marché au niveau mondial (Windows Phone 8.1, dernière version de l’OS sortie en 2014, n’est plus mis à jour depuis juillet 2017). Cependant, la stratégie « mobile first, cloud first » de Satya Nadella montre que la firme de Redmond garde un pied dans le mobile avec Windows 10 Mobile, déclinaison de son OS 10 disponible depuis 2015 sur PC.

Intelligence artificielle et assistants vocaux
A l’image des trois principaux thèmes de l’événement eMicrosoft Experiences, qui
s’est déroulé début octobre à Paris, la multinationale veut imprimer sa marque dans l’intelligence artificielle (IA), la confiance numérique et la « collaboration innovante ». C’est dans ce sens que toutes les filiales, dont la française à Issy-les-Moulineaux
dotée d’un nouveau patron (7), doivent œuvrer. L’IA passe par les objets connectés du quotidien, dont les assistants vocaux. Microsoft ne peut manquer cet eldorado. Satya Nadella a donc parlé avec Jeff Bezos, le patron d’Amazon : ensemble, ils ont annoncé fin août que l’assistant vocaux virtuel Cortana (Microsoft) interagira avec son homologue Alexa (Amazon) et vice versa (8). Et plus si affinités ? @

Charles de Laubier

Copie France cultive l’opacité de la taxe du droit à la copie privée (265 millions d’euros en 2016)

Le moins que l’on puisse dire, c’est que la société de perception et de répartition de la rémunération pour copie privée – Copie France – ne fait pas preuve de transparence autour d’une taxe qui est pourtant prélevée directement auprès du grand public et à toujours à son insu.

La société pour la perception de la rémunération de la copie privée audiovisuelle et sonore – plus connue sous le nom de Copie France – a beau être agréée par un arrêté daté du 20 décembre 2016 en qualité de « société de perception et de répartition de la rémunération pour copie privée », elle n’a toujours pas publié de rapport d’activité pour l’année 2016 ni d’autres documents relatifs à la perception et à la répartition des droits issus de cette taxe « copie privée ». Cet organisme parapublic, dont le co-gérant et secrétaire général est Charles-Henri Lonjon (photo), est chargé par l’Etat de collecter les taxes prélevées sur les supports de stockage numérique tels que DVD, clés USB, disques durs externes, smartphones, tablettes et le cloud audiovisuel à travers les enregistreurs vidéo personnel ou nPVR (1). En 2016, la redevance pour copie privée a ainsi rapporté 265 millions d’euros. Ce qui représente une hausse supérieure à 17 % sur un an.

Obstruction du ministère de la Culture
Selon un rapport de l’Organisation mondiale de la propriété intellectuelle (Ompi), publié en mai dernier, la France arrive en tête des pays dans le monde qui collectent le plus de taxe pour la copie privée. Rien qu’en Europe, l’Hexagone pèse 39 % des 581 millions d’euros collectés – contre seulement à peine plus de 100 millions d’euros en Allemagne, par exemple. Or, en tant que sociétés de perception et de répartition des droits (SPRD) soumise au contrôle de la commission permanente de contrôle des SPRD de la Cour des comptes, Copie France est censée faire montre de transparence.
En effet, conformément à l’article L.312-2 du Code de la propriété intellectuelle (CPI), elle est tenue de « communique[r] ses comptes annuels au ministre chargé de la Culture » et « tout document relatif à la perception et à la répartition des droits ainsi que la copie des conventions passées avec les tiers ». Dès que ces documents administratifs sont disponibles, toute personne, tout citoyen, devait pouvoir y avoir accès, la Commission d’accès aux documents administratifs (Cada) étant l’autorité administrative indépendante chargée de veiller à cette liberté d’accès justement. C’est auprès de cette dernière que le site web d’information NextInpact a lancé plusieurs « procédures Cada », notamment sur les documents de Copie France. En vain. Edition Multimédi@ a tenté à son tour de les obtenir en saisissant la Cada. Sans plus de résultat. Notre confrère
et juriste Marc Rees avait même sollicité fin septembre le service juridique du ministère de la Culture – via le service de presse de la rue de Valois – pour que lui soit transmis plusieurs pièces liées aux activités de Copie France. A mi-octobre, ses demandes étaient restées lettres mortes. Décidément, « le ministère de la Culture n’est plus celui de la communication » (3). Pourtant, la rue de Valois prétend – sur son site web de données publiques disponibles Data.culture-communication. gouv.fr – être « pleinement engagé dans la politique en faveur de l’ouverture et du partage des données publiques, ainsi que dans le développement d’une économie numérique culturelle ». Ce manque de transparence de Copie France et du ministère de la Culture est en outre en contradiction avec la loi « pour une République numérique » du 7 octobre 2016, promulguée il y a un an, qui a rendu obligatoire l’open data dans l’administration française et introduit la notion de « service public de la donnée » et d’« information publique », ainsi que leur libre réutilisation grâce à l’abrogation d’article de la loi dite
« Cada » (4).
Sur le site web de Copie France, le temps semble s’être arrêté. Il n’y est fait état que des sommes perçues de 2002 à 2011. Depuis six ans (5), soit depuis que Copie
France a absorbé Sorecop pour devenir l’unique collecteur en France de la taxe « copie privée », aucune indication et encore moins sur les 265 millions d’euros collectés en 2016 auprès des consommateurs via les fabricants ou importateurs de produits high-tech dotés de support de stockage numérique. @

Charles de Laubier

ZOOM

Charles-Henri Lonjon : 20 ans de taxe « copie privée »
Il se présente comme le « secrétaire général de Copie France » en poste depuis 1997. En réalité, il est secrétaire général et co-gérant avec François Lubrano di Figolo de la société pour la perception de la rémunération de la copie privée audiovisuelle et sonore – alias Copie France – depuis la fusionabsorption en juin 2011 par cette dernière de la Sorecop dont il était le secrétaire général et gérant. Charles- Henri Lonjon (photo) était auparavant, il y a 20 ans, conseil juridique de la SDRM, la société de gestion des droits de la Société des auteurs, compositeurs et éditeurs de musique (Sacem). Quant à François Lubrano di Figolo, il est par ailleurs directeur de la culture et de la communication à la Société de gestion des droits des artistes interprètes (Spedidam). @