Archives par mot-clé : CNN

Neutralité du Net : le gouvernement tarde à décider

Publié le par

En fait. Le 29 janvier, le Geste a « regretté » que la ministre Fleur Pellerin n’ait pas annoncé – lors de la table ronde du 15 janvier dernier sur la neutralité du Net –
un projet de loi consacrant ce principe et « s’est étonné que le gouvernement
ne prenne pas une position ferme en faveur des internautes ».

En clair. Le Groupement des éditeurs de services en ligne (Geste) « ne comprend pas le renvoi de l’examen de ce sujet auprès du Conseil national du numérique au sein duquel, par ailleurs, aucun représentant d’association professionnelle ne siège ». Après plus de trois ans de débats, de rapports et d’auditions sur le principe de neutralité de l’Internet, la France hésite en effet encore sur le sujet. En place depuis mai 2012, le gouvernement semble vouloir se donner encore du temps avant de décider. La définition et le principe de neutralité du Net ne sont toujours pas inscrits dans une loi, pas plus que la protection des libertés fondamentales des internautes et des mobinautes – et demain des télénautes. « C’est un enjeu de démocratie. Ce n’est pas négociable. (…) Le droit actuel est-il suffisant ? Pas certain », a pourtant lancé Fleur Pellerin, lors de la table ronde du 15 janvier. Le droit fondamental des utilisateurs « à accéder à l’information et à en diffuser ainsi qu’à accéder aux applications et services de leur choix » est bien prévu à l’article 3 de l’ordonnance de transposition du nouveau Paquet télécom (1) publiée au Journal Officiel du 26 août 2011. Mais il reste insuffisant.
Que s’est-il passé entre la première violation connue de ce principe en 2007, lorsque
Neuf Cegetel a bloqué Dailymotion faute d’accord d’interconnexion, et la dernière
violation en date, lorsque Free fait pression sur Google en dégradant l’accès à YouTube
et en bloquant les publicités en ligne ? Rien ! Ou presque. Il y a bien la décision du
20 septembre dernier de l’Autorité de la concurrence, laquelle donne raison à France Télécom voulant pratiquer du « peering payant » vis-à-vis de Cogent. Mais cet intermédiaire technique ou CDN (2) a, selon nos informations, déposé fin octobre 2012
un recours devant la Cour d’appel de Paris contre cette décision.
Il faudra attendre la « feuille de route numérique » que présentera fin février le Premier ministre Jean-Marc Ayrault pour savoir si la neutralité d’Internet aura sa loi. Pour faire patienter, la ministre de l’Economie numérique a saisi le nouveau Conseil national du numérique (CNN) – installé le 18 janvier – pour contribuer aux « travaux techniques » sur les conditions d’acheminement du trafic Internet (flux asymétriques) et le partage de la valeur entre opérateurs de réseau et fournisseurs de contenus (terminaison data ?). @

Cookies et données personnelles : la protection des internautes sera-t-elle suffisante?

Publié le par

Comme le contrôleur européen de la protection des données (CEPD), les eurodéputés (1) veulent une meilleure protection des données personnelles.
Le gouvernement français, lui, prévoit dans un projet d’ordonnance de la
renforcer. Mais le CNN, nouvellement créé, a rendu un avis critique.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie.

Selon une enquête publiée en juin 2011 par la Commission européenne, trois européens sur quatre se disent inquiets
de l’utilisation de leurs données personnelles. Alors que
les débats sur la modification de la directive européenne
sur la protection des données personnelles de 1995 doivent débuter à l’automne 2011, la transposition du
« Paquet télécom » (2) va-t-elle les rassurer ?

Première analyse du CNN
Le 25 novembre 2009, le Parlement européen et le Conseil de l’Europe ont adopté
la directive « Droit des citoyens » (2009/139/CE) et la directive « Mieux légiférer » (2009/140/CE) modifiant les directives de 2002, appelées « Paquet télécom ». Ce paquet législatif constituait le cadre réglementaire européen des communications électroniques. Ces deux directives comportent des nouveautés en matière de service universel et de protection des consommateurs ; et il était prévu que les États membres les transposent avant le 25 mai 2011. ans ce contexte de relative urgence, le gouvernement a été autorisé par l’article 17 de la loi du 22 mars 2011, portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière de santé, de travail et de communication électroniques, à prendre par voie d’ordonnance les dispositions nécessaires à la transposition du Paquet télécom. Avant qu’elle ne soit adoptée, une consultation publique a été lancée jusqu’au 20 juillet sur un projet d’ordonnance. Saisi pour donner son avis, comme le sont notamment l’Arcep, le CSA
et la Cnil, le Conseil national du numérique (CNN) s’est exprimé sur les changements ayant un impact important sur le développement de l’économie numérique. Le rôle de cette nouvelle instance est, en effet, de conseiller le gouvernement sur les questions relatives au domaine du numérique et qui réalise, avec cette consultation, sa première mission d’analyse. Parmi ces nouveautés, le projet d’ordonnance envisage un nouveau cadre juridique applicable aux cookies et un dispositif visant à renforcer la protection des données personnelles.
Les cookies sont des outils « espions » qui s’installent sur le disque dur de l’utilisateur,
à l’occasion de la consultation de certains sites web. Ils permettent d’enregistrer la trace des passages de l’utilisateur sur un site Internet ou un forum et, ainsi, de stocker sur le poste de l’internaute des informations sur ses habitudes de navigation. Le serveur qui a mis en place la collecte de ces informations peut récupérer les données et les réutiliser lors de la prochaine visite du site par l’internaute. Ainsi, ils peuvent par exemple faciliter la navigation en évitant d’entrer de nouveau ses identifiants de connexion ou en stockant les éléments d’un panier d’achats, mesurer l’audience en comptabilisant le nombre de visites sur le site ou encore faire de la publicité comportementale. Certaines de ces finalités peuvent être particulièrement intrusives dans la vie privée des internautes et sont, à ce titre, souvent dénoncées.

Cookies : obligations préalables
L’article 2.5 de la directive « Service universel et droits des utilisateurs » (2009/136/CE) dispose que les États membres de l’Union européenne ont l’obligation de garantir que le stockage de cookies, ou l’obtention de l’accès à des cookies déjà stockés dans l’ordinateur d’un internaute, ne soit permis qu’à condition que cet internaute ait reçu préalablement une information claire et complète sur les conditions de ce stockage et de cet accès, et qu’il y ait consenti. Ainsi, le législateur européen a pris position en faveur du système de l’opt-in puisqu’il fait du consentement de l’internaute un préalable à l’installation d’un cookie – contrairement à l’opt-out faisant présumer le consentement de l’internaute jusqu’à manifestation par ce dernier d’une volonté contraire. Il convient de différencier deux types de cookies : ceux qui permettent, facilitent la navigation ou sont « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur », et ceux qui correspondent aux cookies utilisés par les régies publicitaires pour tracer les internautes. Les premiers ne sont pas concernés par ces nouvelles obligations, contrairement aux seconds. Ainsi, les sites ou régies publicitaires utilisant ce dernier type de cookie doivent : informer les internautes sur les finalités des cookies ; leur demander leur accord préalable avant toute implémentation sur leur poste et leur donner les moyens de s’y opposer lors du premier stockage (3). Toutefois, le projet d’ordonnance précise que le consentement de l’internaute peut résulter « de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle » (4). Pour le CNN, ce dispositif est de nature à assurer « un bon équilibre pour responsabiliser l’ensemble des acteurs de la chaîne ».

Protection des données personnelles
Les professionnels du secteur s’interrogent néanmoins sur l’applicabilité en pratique
de ces nouvelles règles, tant les cookies sont utilisés massivement sur Internet. L’article 37 du projet d’ordonnance transpose de manière quasi-littérale ce dispositif européen
et prévoit d’insérer dans la loi « Informatique et Libertés » (5) que « tout abonné ou personne utilisatrice d’un terminal doit être informé de manière claire et complète,
sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; des moyens dont elle dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif
de connexion ou de tout autre dispositif placé sous son contrôle ». Concernant la protection des données personnelles, le CNN estime que le projet d’ordonnance va au-delà des exigences européennes. Selon l’article 2.2.c de la directive 2009/136/CE, la violation de données à caractère personnel correspond à « une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non-autorisé de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté ». Si une telle violation survient, le fournisseur doit prévenir l’autorité nationale compétente (en l’occurrence la Cnil en France). Il doit, par ailleurs, avertir l’abonné ou le particulier concerné, lorsque la violation est de nature à affecter négativement les données ou
la vie privée de ce dernier. Cette notification à l’intéressé n’est pas requise lorsque le fournisseur prouve qu’il a pris les « mesures de protection technologiques appropriées » et qu’il les a appliquées aux données concernées par la violation. Le projet d’ordonnance pose une condition supplémentaire en disposant que
la Cnil doit « valider les mesures de protection technologiques mises en oeuvre par
le fournisseur » (6). De plus, contrairement à la directive qui exige une notification à l’intéressé lorsque la violation des données lui porte préjudice, le projet d’ordonnance
ne conditionne plus cette démarche à la constatation d’un préjudice. Enfin, le projet d’ordonnance mentionne que le fournisseur doit avertir « sans délai ». Or, la directive précise que cet avertissement doit être effectué « sans retard indu », ce qui est moins contraignant pour le fournisseur.
Compte tenu de ces différences, le CNN considère que le projet d’ordonnance impose des contraintes disproportionnées aux fournisseurs et « qu’il serait donc souhaitable de transposer plus fidèlement les dispositions de la directive en matière de protection des données à caractère personnel ». Suite à la publication de l’avis du CNN, la Société
des auteurs et des compositeurs dramatiques (SACD) s’est dite « consternée » par le
fait que le CNN tenterait de « minimiser les obligations, totalement conformes au texte
de la directive européenne transposée, des fournisseurs de services de communications électroniques en matière de protection des données personnelles des consommateurs » (7).

Devoir de notification des fournisseurs
Les fournisseurs de services seront particulièrement vigilants aux autres avis des autorités administratives saisies, et notamment celui de la Cnil, afin d’anticiper au mieux les conditions dans lesquelles ils devront, sous peine de sanctions, notifier les cas de violations de données à caractère personnel. @

* Bâtonnier désigné du Barreau de Paris.

Création du CNN : à quand la rationalisation des outils de régulation du numérique ?

Publié le par

Le Conseil national du numérique (CNN), censé simplifier les relations entre
les acteurs du Net et les pouvoirs publics, risque d’accroître la confusion
déjà existante entre les multiples « AAI ». La convergence aurait mérité
une rationalisation – voire une fusion – entre certaines d’entre elles.

Par Rémy Fekete (photo), avocat associé, Gide Loyrette Nouel.

Le 29 avril dernier naissait le Conseil national pour
le numérique (CNN), entité entièrement dédiée à l’Internet
et au numérique (1). La création de ce nouveau conseil vise
à combler l’absence de tout organisme transversal dans
ces secteurs depuis la disparition du Forum des droits sur l’Internet (FDI) en décembre 2010, faute de financements.

Syndromes Dadvsi, Hadopi et Loppsi
Pour le gouvernement, la création d’un organisme de liaison avec les professionnels
du numérique devrait également permettre d’éviter de rencontrer, à l’avenir, les mêmes difficultés que celles connues lors du vote des lois Dadvsi (2), Hadopi (3) ou Loppsi (4). Le rôle de régulation du CNN est pourtant limité : ses missions se cantonnant à la formulation de « recommandations en faveur du développement de l’économie numérique en France » et à l’émission d’avis sur « tout projet de dispositions législative ou réglementaire susceptible d’avoir un impact sur l’économie numérique » (5). Par ailleurs,
la faiblesse des moyens dont il est pourvu se heurte à la volonté affichée de « favoriser et soutenir le numérique […], soutenir la création […], développer l’éducation […], respecter la liberté de connexion et d’expression […] » (6). En outre, sa composition – marquée par l’absence de tout représentant de la société civile, des industries culturelles ou la sous représentation des acteurs de l’industrie informatique – et l’absence de définition claire de son statut (7) ne sont pas sans faire l’objet de vives critiques (8).
La création du CNN, et plus particulièrement le choix de ne pas en faire une Autorité administrative indépendante (AAI) mais un simple organisme consultatif, soulève la question des moyens optimaux à mettre en oeuvre en matière de régulation du secteur des médias, des télécommunications et des Nouvelles technologies de l’information et de la communication (NTIC). En effet, les AAI dédiées à la régulation de ce secteur et mises en place régulièrement depuis plus de trente ans (A) sont aujourd’hui marquées par une diminution des moyens accordés, de régulières attaques à leur indépendance à l’égard du pouvoir exécutif et un manque de lisibilité des compétences de chacune (B). Pour autant, la création d’organismes consultatifs tels que CNN n’apparaît pas être une alternative appropriée aux faiblesses du système des AAI. Il serait préférable de revenir aux fondamentaux, afin de permettre à ces autorités de recouvrer leur légitimité d’autrefois (C).
A – Il est aujourd’hui difficile d’affirmer avec précision le nombre d’AAI existant véritablement en France. Legifrance en dénombre à ce jour pas moins de 38, dont 6 au moins sont exclusivement dédiées aux secteurs des média, des télécommunications
et des NTIC : Arcep (9), Arjel (10), Cnil (11), CSA (12), Hadopi (13) et le Médiateur du cinéma.
Depuis la création de la CNIL en 1978 (14), les AAI fleurissent en effet en matière
de régulation du secteur des média, des télécommunications et des NTIC. Relevant parfois d’une initiative communautaire, les raisons de leur création sont multiples : construire et maintenir la concurrence entre acteurs d’un secteur nouvellement ouvert
à la concurrence ou nécessitant l’allocation de ressources rares, organiser la protection des libertés publiques, offrir à l’opinion une garantie renforcée d’impartialité des inventions de l’Etat, etc.

Manque de lisibilité des compétences
Aujourd’hui, des autorités de régulation ou d’organismes consultatifs sont créées par opportunisme. Dictée par des motivations d’ordre politique consistant notamment à appliquer le principe du « un problème = une solution », la création de certaines entités apparaît en effet relever davantage du remède de circonstance que d’une réelle avancée sur le long terme. Ainsi, le CNN – au statut mal défini, à l’indépendance non consacrée et dépourvu de toute prérogative de régulation – semble principalement avoir un rôle de liaison plutôt que d’élaboration de la réglementation d’Internet et du numérique. Par ailleurs, sa mission essentiellement consultative nécessitait-elle réellement la création d’un organisme dédié ? Le dialogue avec des professionnels
du secteur n’était-il pas déjà rendu possible par l’intermédiaire des syndicats et associations de défense (15) ?

« Déficit de légitimité démocratique »
En l’absence de droit commun régissant les AAI, leur multiplication n’est pas sans comporter un certain nombre de risques. De par le cumul de fonctions de contrôle
et de régulation, ces instances souffrent d’un déficit de légitimité démocratique relevé régulièrement par la doctrine (16). Investies de prérogatives aussi multiples qu’étendues, elles peuvent édicter des actes réglementaires mais aussi prendre des décisions et prononcer des mesures punitives, portant ainsi atteinte au principe de la
« séparation des pouvoirs ». Par ailleurs, la variété des missions confiées à ces différentes instances et l’hétérogénéité des pouvoirs dont elles sont dotées conduisent à une diversité des structures et à un manque de cohérence parfois dommageable.
B – Pratique originaire des pays de « Common Law », la régulation de certains secteurs économiques par des AAI s’adapte difficilement aux pays de tradition
« civiliste » et conduit à un certain nombre de dérives. Conçues comme des alternatives à la lourdeur de l’administration, ces structures ont de plus en plus tendance à en reproduire les principaux travers. A l’heure de la suppression d’un poste sur deux dans la fonction publique, les AAI ne cessent de s’étoffer et leurs procédures de s’alourdir. L’indépendance vis-àvis de l’exécutif, caractéristique essentielle des autorités de régulation, est régulièrement mise à mal. Pour preuves : la désignation du président de France Télévisions par le président de la République se substituant au CSA ou encore la récente tentative de nomination d’un commissaire du gouvernement au sein de l’Arcep. De la même manière, les autorités de régulation, membres du Fratel (17), n’ont pas toutes réussi à mettre en place une véritable indépendance organisationnelle et structurelle. Par exemple, l’autorité marocaine (ANRT) est présidée par le Premier ministre, tandis que celle de la République Démocratique Congo (ARPTC) relève du président de la République. De même, l’autorité nigérienne (ARM) – conçue initialement comme une autorité indépendante – est rattachée, depuis 2005, au Premier ministre.
L’addition d’AAI conduit également à un chevauchement de leurs compétences du fait de certaines incohérences ou lacunes textuelles. Ceci est particulièrement vrai en ce qui concerne l’Autorité de la concurrence, autorité transversale aux différents secteurs économiques, et les autorités sectorielles telles que l’Arcep ou le CSA. Si l’on considère traditionnellement que l’Autorité de la concurrence intervient ex post, alors que les autorités sectorielles interviennent ex ante, le pouvoir de règlement des différends dont sont dotées ces dernières conduit à certaines superpositions de compétences (18).
Il est d’ailleurs régulièrement relevé que le partage de compétences entre les AAI et l’administration publique – par exemple entre le Médiateur du cinéma et le CNC (19) –
n’est pas sans comporter des risques de doublon (20).
C – Pour autant, cette multiplication des AAI et les travers qui en résultent ne semblent pas ôter à ces structures la légitimité de leur existence. Le recours aux autorités administratives indépendantes demeure un outil indispensable, dont on ne saurait
se priver à la condition de revenir aux fondamentaux. En effet, les AAI présentent
de nombreux avantages. En associant les professionnels d’un secteur donné à la détermination des règles applicables, elles permettent non seulement la bonne adaptation des mesures aux réalités du terrain mais également de recevoir l’adhésion des acteurs économiques grâce à une légitimité accrue liée à la participation de ces derniers.
Par ailleurs, le pragmatisme inhérent aux AAI autorise une plus grande flexibilité de la norme et assure l’efficacité de l’intervention étatique en termes de rapidité, d’adaptation aux évolutions technologiques et de continuité dans l’action. Ces divers atouts sont autant de justifications à la conservation d’autorités de régulation dans les secteurs des médias, des télécommunications ou des nouvelles technologies. Il importe néanmoins de revaloriser ces structures en retournant aux principes fondateurs de leur création.
Le retour à une taille limitée permettant souplesse, réactivité et convivialité semble primordial. Par ailleurs, il convient de rationaliser le nombre de ces autorités afin de permettre une meilleure cohérence de la régulation des secteurs des médias, des télécommunications et des NTIC à l’heure de la convergence entre les contenus et
les réseaux.

Fusion de certaines autorités ?
Cela peut passer par une fusion de certaines autorités, selon les exemples anglais
ou italien, mais également par une harmonisation des procédures et une meilleure organisation des relations entre elles. Enfin, l’indépendance de ces autorités doit
être rappelée et protégée afin d’asseoir véritablement leur autorité. @