Finance numérique : l’Europe veut devenir une référence mondiale, jusque dans les cryptomonnaies

La Commission européenne a présenté le fin septembre son paquet législatif « Digital Finance Strategy » (DFS) qui englobe aussi les cryptomonnaies et les cryptoactifs. Objectifs : réguler les services financiers numériques et éviter la fragmentation du marché unique numérique.

« L’avenir de la finance est numérique » a lancé le 24 septembre Valdis Dombrovskis (photo), vice-président exécutif de la Commission européenne, en charge de l’économie aux services des personnes. « Un marché unique du financement numérique et innovant profitera aux citoyens européens et jouera un rôle clé dans la reprise économique de l’Europe, en offrant de meilleurs produits financiers aux consommateurs et en ouvrant de nouveaux canaux de financement aux entreprises ». En creux, grâce à l’intelligence artificielle (IA) et à la blockchain (chaîne de blocs), le capitalisme financier va se démocratiser.

Fintech européennes face aux GAFA et BATX
Pour l’ensemble des consommateurs européens, le paquet « Digital Finance Strategy » (DFS) vise à leur permettre de payer plus facilement dans les magasins ayant pignon sur rue (comme le paiement sans contact) ou lors de leurs achats en ligne (e-commerce/e-paiement), et en toute sécurité et de manière pratique. Mais le DFS concerne aussi le règlement des factures, le remboursement des prêts, y compris hypothécaires, le transfert d’argent, le paiement des salaires ou encore le versement des pensions de retraite.
Valdis Dombrovskis espère que la finance numérique aidera aussi à relancer l’économique de l’Union européenne (UE) et profitera en plus aux PME. La finance numérique étant par définition sans frontières, cela va permettre de renforcer l’Union économique et monétaire européenne et d’accompagner jusqu’à la fin de mandature en cours (2024) la transformation numérique de l’UE. Il s’agit aussi d’instaurer des conditions de concurrence équitables entre les prestataires de services financiers, « qu’il s’agisse de banques traditionnelles ou d’entreprises technologiques : même activité, mêmes risques, mêmes règles ». Cela devrait contribuer à l’émergence de solutions de paiement nationales et paneuropéennes, à l’heure où les géants du numérique – GAFA américains et BATX chinois – sont en passe d’être parties intégrantes de l’écosystème financier. Concernant spécifiquement la législation proposée sur les cryptoactifs, à savoir toute « représentation numérique de valeurs ou de droits pouvant être stockée et échangée par voie électronique », le projet de règlement sur les marchés de cryptoactifs – ce que la Commission européenne désigne par « Mica » (Regulation on Markets in Crypto Assets) – entend favoriser l’innovation dans un environnement financier stable et garantir une sécurité juridique aux émetteurs et fournisseurs de cryptoactifs. Parallèlement, la proposition de loi sur la résilience opérationnelle numérique – ce que la Commission européenne désigne cette fois par « Dora » (Digital Operational Resilience Act) – consiste à obtenir des acteurs de la finance numérique des garanties pour empêcher les cyberattaques et les autres risques tels que le blanchiment d’argent. La vigilance réglementaire s’étendra aussi aux prestataires de services de cloud, où sont stockées des masses de données financières de plus en plus stratégiques. Dans l’immédiat, un « bac à sable réglementaire » (sandbox) est mis en place au niveau européen pour tester des opérations de cryptoactifs utilisant la technologie des registres distribuées (blockchain), sous la bienveillance des régulateurs – notamment de l’Autorité bancaire européenne (ABE), basée à Paris. Ce « sas réglementaire » devrait permettre aux entreprises, qu’elles soient établissements bancaires et financiers classiques ou fintech, d’« éprouver les règles existantes ». L’Europe entend favoriser l’émergence de startup voire de licornes des technologies financières, des fintech européennes capables de rivaliser avec des Big Tech américaines ou chinoises.
Pour sa « Stratégie en matière de finance numérique pour l’UE » (DFS) telle que présentée le 24 septembre (1), la Commission européenne s’est fixé quatre priorités :
• La première priorité est de « s’attaquer à la fragmentation du marché unique numérique des services financiers, de manière à permettre aux consommateurs européens d’accéder à des services transfrontières et d’aider les entreprises financières européennes à accroître leurs opérations numériques ». C’est une simple question d’économie d’échelle : les entreprises qui atteignent une certaine taille pourraient, par exemple, être en mesure de fournir des services financiers numériques avec une meilleure qualité et à un prix inférieur pour les consommateurs.

Vers un « marché unique des données »
• La deuxième priorité
consiste à faire en sorte que le cadre réglementaire de l’UE facilite l’innovation numérique « dans l’intérêt des consommateurs et de l’efficacité du marché ». Cela concerne notamment les technologies des registres distribués (2) telles que la blockchain, les réseau peer-topeer (pair-à-pair) ou encore les algorithmes de consensus, ainsi que les technologies liées à l’IA. Et comme les cycles d’innovation sont plus rapides dans la finance numérique, la législation européenne sur les services financiers et les pratiques de surveillance devront être réexaminées régulièrement pour faire régulièrement des ajustements.
• La troisième priorité vise à créer « un espace européen des données financières pour promouvoir l’innovation fondée sur les données » et à ouvrir « le partage des données sur les comptes de paiement, dans le respect des règles de protection des données et de concurrence ». Sera ainsi encouragée la création de produits innovants pour les consommateurs et les entreprises, avec un l’objectif plus large de créer « un marché unique des données » tel qu’elle l’avait exposé en février dernier, dans le respect du RGPD (3).

Fintech, Regtech et Suptech
• La quatrième priorité porte sur les risques liés à la finance numérique dus notamment aux «écosystèmes fragmentés » et à des fournisseurs de services numériques interconnectés qui échappent partiellement à la réglementation et la surveillance financières. Pour garantir la stabilité financière, la protection des consommateurs, l’intégrité des marchés, la concurrence loyale et la sécurité, le principe de « même activité, mêmes risques, mêmes règles » sera appliqué, afin qu’il n’y ait pas deux poids deux mesures entre par exemple banques traditionnelles et fintech.
D’ici 2024, l’Union européenne devrait en outre mettre en place un cadre juridique facilitant « l’utilisation de solutions d’identification numérique interopérables qui permettront à de nouveaux clients d’accéder rapidement et facilement aux services financiers » ainsi que « la réutilisation des données des clients sous réserve du consentement éclairé de ces derniers ». Cela suppose que ce cadre juridique soit aussi fondé sur « des règles plus harmonisées en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme » et, après réexamen du règlement dit eIDAS (4) de 2014, sur « l’identification électronique et les services de confiance pour les transactions électroniques ». Aussi, la Commission européenne appelle l’ABE à élaborer d’ici au troisième trimestre 2021 des lignes directrices – « en étroite coordination avec les autres autorités européennes de surveillance ». Et pour mieux lutter contre le blanchiment de capitaux et le financement du terrorisme, un nouveau cadre sera proposé (5). Dans le domaine des paiements de détail, la pratique actuelle de refus des numéros de compte IBAN étrangers – « discrimination à l’IBAN » – sera examinée pour y remédier.
Pour répondre à une demande des fintech européennes qui veulent fournir des services financiers dans leur propre pays mais surtout dans d’autres pays européens que le leur, sans être confrontées à des cadres réglementaires différents d’un pays à l’autre, la Commission européenne a prévu d’établir d’ici 2024 un principe de « passeport » et d’« agrément » octroyé via « un guichet unique » pour les projets de finance numérique (6). Avec l’EFIF (7), un cadre procédural pour le lancement de l’expérimentation transfrontière sera mis en œuvre « d’ici la mi-2021 », y compris pour « d’autres mécanismes destinés à faciliter l’interaction entre les entreprises et les autorités de surveillance de différents Etats membres ». Toujours avec l’EFIF, une plateforme en ligne pour la finance numérique sera ouverte afin d’encourager la coopération entre les parties prenantes privées et publiques et de délivrer des agréments par voie électronique (8). Par ailleurs, pour aider les entreprises à respecter les dispositions réglementaires et les lignes directrices, sera encouragé le secteur de la « regtech » qui est présentée comme « un sous-ensemble de la fintech ». Quant aux outils « suptech », ils permettront l’analyse des données par les autorités.
Les banques centrales ne seront pas en reste, elles qui souhaitent développer des monnaies numériques comme mode de paiement alternatif aux espèces, à l’instar de la Banque centrale européenne (BCE) qui envisage d’émettre sa propre monnaie numérique (MNBC) et de la rendre accessible au grand public. La Commission européenne compte, toujours d’ici 2024, « faciliter les marchés de cryptoactifs et d’instruments financiers tokenisés » dans les Vingt-sept. Les jetons utilitaires (utility tokens) peuvent servir à accéder à des réseaux de chaînes de blocs décentralisés (blockchain) et les jetons de valeur stable (stablecoins) peuvent servir de base aux paiements de machine à machine dans les secteurs de la mobilité, de l’énergie et de l’industrie manufacturière. La directive sur les services de paiement (DSP2), qui a ouvert la voie à l’open finance (partage et utilisation par les banques et prestataires tiers de données clients – avec leur consentement – pour la création de nouveaux services), sera réexaminée en 2021. Plus largement, un texte législatif « finance ouverte » sera aussi proposé d’ici mi-2022. En particulier, il s’agira de « résoudre les problèmes actuels rencontrés par les prestataires de services de paiement lorsqu’ils tentent d’accéder aux antennes de communication NFC (9) utilisées pour des paiements sans contact efficaces ».

Futur « label » de paiement paneuropéen
C’est ce qu’aborde notamment l’autre communication de la Commission européenne, intitulée cette fois « Stratégie en matière de paiements de détail pour l’UE » (SPD), datée aussi du 24 septembre (10). Elle prévoit aussi la généralisation des paiements instantanés dans les Vingt-sept d’ici fin 2021. Il s’agit aussi de normaliser les codes QR de paiement. Et d’ici fin 2023, un label accompagné d’un logo reconnaissable permettra d’identifier les solutions de paiement paneuropéennes, tandis que l’utilisation de l’identité électronique (eID) conforme aux exigences « eIDAS-DSP2 » sera mise en place pour faciliter l’interopérabilité transfrontalière et nationale. @

Charles de Laubier

Ursula von der Leyen : « Nous investirons 20 % du budget de NextGenerationEU dans le numérique »

La présidente de la Commission européenne, Ursula von der Leyen, première femme à ce poste, a prononcé le 16 septembre son premier discours sur l’état de l’Union européenne (exercice annuel) devant les eurodéputés qui étaient cette année réunis à Bruxelles. Edition Multimédi@ revient sur ses ambitions numériques.

Sur le budget total de 672,5 milliards d’euros du plan de
« redressement d’urgence » baptisé NextGenerationEU – « pour aider à réparer les dommages économiques et sociaux immédiats causés par la pandémie du coronavirus, soutenir une reprise économique et construire un avenir meilleur pour la prochaine génération » –, une part non négligeable de 20 % va être consacrée au numérique. Cela représente une enveloppe conséquente de 134,5 milliards d’euros.
Disons-le tout net : c’est sans précédent depuis que la Commission européenne existe, depuis qu’elle s’est réunie pour la première fois en janvier 1958 sous la présidence de l’Allemand Walter Hallstein, soit huit mois avant la naissance de sa compatriote Ursula von der Leyen (photo), qui est à ce poste exécutif depuis une dizaine de mois maintenant. Cette manne sera distribuée aux Vingt-sept sous forme de prêts (53,5 %) ou de subventions (46,5 %). « Les Etats membres peuvent préparer des plans de redressement et de résilience qui définissent un ensemble cohérent de réformes et de projets d’investissement public à mettre en œuvre jusqu’en 2026, afin d’être soutenus », a précisé la Commission européenne. La date limite de soumission des plans de relance par les pays européens intéressés est fixée au 30 avril 2021.

La France devra faire plus en faveur du numérique
Ursula von der Leyen (UVDL) compte sur les eurodéputés pour qu’ils votent « le plus rapidement possible » sur sa proposition législative, afin que le plan NextGenerationEU soit opérationnel « dès le 1er janvier 2021 ». Mais sans attendre, la présidente de l’exécutif européen a dit qu’elle encourageait les Etats membres à présenter leurs avant-projets de plan à partir du 15 octobre 2020, quitte à les finaliser par la suite. Paris a déjà fait savoir qu’il notifiera à Bruxelles, sans doute en octobre, son plan « France Relance » à 100 milliards d’euros présenté début septembre, dont à peine 7 % consacrés au numérique (1), et espère de l’Union européenne 40 milliards d’euros d’aides. Or la Commission européenne attend de chaque plan national au moins 20 % dans le digital. En effet, dans son guide d’orientation à destination des Etats membres (2), la Commission européenne souhaite que « chaque plan de redressement et de résilience comprenne un niveau minimum de 20 % des dépenses liées au numérique » – que cela soit dans la 5G, la 6G – déjà ! –, la fibre optique, la cybersécurité, la blockchain, l’informatique quantique, mais aussi l’éducation au numérique et l’amélioration des services publics grâce aux nouveaux outils numériques.

Réagir vite face à la domination des GAFAM
UVDL estime qu’il est grand temps de réagir face à la domination des GAFAM et de faire des années 2020 « la décennie numérique » de l’Europe qui doit « montrer la voie à suivre dans le domaine du numérique, sinon elle sera contrainte de s’aligner sur d’autres acteurs qui fixeront ces normes pour nous ». Pour entraîner les Vingt-sept, la présidente de la Commission européenne a été très clair : « Nous investirons 20 % du budget de NextGenerationEU dans le numérique. Nous voulons ouvrir la voie, une voie européenne, de l’ère numérique : une voie qui repose sur nos valeurs, notre force, nos ambitions mondiales ». Pour UVDL, l’Europe numérique passe par « la connectivité, les compétences et les services publics numériques », mais aussi par « le droit au respect de la vie privée et à la connectivité, la liberté d’expression, la libre circulation des données et la cybersécurité ». Elle appelle en outre les gouvernements à se référer aux indicateurs de l’indice européen DESI (Digital Economy and Society Index), dont l’état à 2019 a été publié en juin dernier. Par exemple, la France – notée 52,2 et positionnée à la 15e pace du DESI (3) – se situe légèrement en-dessous de la moyenne européenne qui est de 52,6.
Lors de son discours du 16 septembre, UVDL a exprimé le souhait de voir l’Union européenne se « concentrer sur trois domaines » :
• Les données. « En ce qui concerne les données à caractère personnel – dans le commerce entre entreprises et consommateurs – l’Europe a été trop lente et dépend désormais des autres. Il ne faut pas que cela se répète avec les données industrielles », a-t-elle prévenu, déplorant au passage que « 80 % des données industrielles sont collectées mais ne sont jamais utilisées ; c’est du gaspillage ». Aussi, dans le cadre de NextGenerationEU, sera créé un cloud européen « fondé sur Gaia-X », le projet de « cloud de confiance » franco-allemand annoncé en juin dernier et susceptible de fournir ses premiers services en Europe à partir du premier semestre 2021. Mi-juillet, le commissaire européen en charge du Marché intérieur, Thierry Breton, a évoqué un investissement de l’Union européenne de 2 milliards d’euros pour ce qu’il a appelé un « Gaia-UE » (4). Objectif : à la fois mettre en place un projet de cloud commun de données industrielles et créer une fédération européenne des infrastructures et services de cloud. « Les premiers appels à manifestation d’intérêt pour le programme “Europe numérique” (5) pourraient être lancés d’ici la fin de cette année », nous indiquet- on dans l’entourage de Thierry Breton.
• La technologie. La Commission européenne prévoit de proposer dès 2021 « un instrument législatif » encadrant l’intelligence artificielle, les algorithmes et la maîtrise des données à caractère personnel. « Qu’il soit question d’agriculture de précision, de diagnostics médicaux plus fiables ou de conduite autonome sécurisée, l’intelligence artificielle nous ouvrira de nouveaux mondes. Mais ces mondes ont aussi besoin de règles. Nous, en Europe, nous voulons un socle de règles qui place l’humain au centre. Les algorithmes ne doivent pas être une boîte noire, et il faut des règles claires si quelque chose tourne mal », a prévenu UVDL. Notamment, en matière d’identité numérique (e-ID), l’exécutif européen proposera « une identité électronique européenne sécurisée ». Pour la numérisation des entreprises, des aides seront octroyées à l’accélération des décisions et à leur exécution par l’automatisation basée sur l’intelligence artificielle. Cela passe en particulier par le financement de centres d’innovation numérique – Digital Innovation Hub (DIH) – pour soutenir la numérisation de l’industrie et du secteur public, y compris la justice.
• Les infrastructures. « Le coup de fouet que NextGenerationEU va donner à l’investissement est une occasion unique de stimuler la croissance jusqu’au moindre village. C’est pourquoi nous voulons concentrer nos investissements sur la connectivité sécurisée et sur le déploiement de la 5G, de la 6G et de la fibre », a assuré UVDL. Elle trouve d’ailleurs « inacceptable que 40 % des habitants des zones rurales n’aient toujours pas accès à une connexion à haut débit rapide ». Surtout que le confinement généralisé du printemps dernier a enclenché la dynamique du télétravail, de l’éducation à domicile, des achats en ligne ou encore des téléconsultations. L’Europe doit « revitaliser les zones rurales ». Il s’agit là de combler le fossé numérique qui s’est creusé entre zones rurales et zones urbaines, mais aussi de « remédier aux défaillances du marché en ce qui concerne le déploiement de réseaux à très haute capacité ».

Souveraineté digitale et « made in Europe »
Pour Ursula von der Leyen, « ce qui est en jeu, c’est la souveraineté numérique de l’Europe, à petite et à grande échelle ». Ainsi, le « made in Europe » technologique « nouvelle génération » bénéficiera d’investissements non seulement dans les microprocesseurs (6) mais aussi, moyennant 8 milliards d’euros débloqués, dans les superordinateurs. Côté services, la Commission européenne va présenter d’ici la fin de l’année sa proposition législative Digital Services Act (DSA) dans le but de mieux dompter les GAFAM. @

Charles de Laubier

Open data des décisions judiciaires et administratives : des avancées mais encore des zones floues

Le 30 juin a été publié au J.O. le décret de mise à disposition du public des décisions judiciaires et administratives. Soit près de quatre ans après la loi « pour une République numérique » annonçant l’open data de ces décisions. Mais il faudra des arrêtés et des circulaires pour y voir plus clair.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

La loi « pour une République numérique » du 16 octobre 2016, en annonçant l’open data des décisions de justice (1), marquait une étape décisive dans le processus de l’accès au droit pour tous. Mais il aura fallu attendre la loi « de programmation 2018-2022 et de réforme pour la justice » du 23 mars 2019 pour rouvrir le dossier de l’open data des décisions judiciaires (2). Et encore une année de plus pour que le décret pour « la mise à la disposition du public des décisions des juridictions judiciaires et administratives » du 29 juin 2020 soit publié.

Occulter les données ou pas, c’est selon
Ce décret de mise à la disposition du public, sur Internet, des décisions judiciaires et administratives apporte quelques précisions complémentaires. Pour autant, dans sa formule « a minima », le dispositif prête à beaucoup d’interrogations et laisse de grandes zones d’ombres. En attendant les arrêtés et circulaires à suivre, un point d’étape s’impose. S’agissant tout d’abord de la responsabilité de la collecte et de la diffusion des décisions de justice sous format électronique, celle-ci est confiée respectivement à la Cour de cassation pour les décisions de l’ordre judiciaire, et au Conseil d’Etat pour les décisions de l’ordre administratif. C’est une bonne chose et cela est conforme au souhait exprimé par le Conseil national des barreaux (CNB) dans une déclaration signée avec la Cour de cassation en juin 2019 et avec le Conseil d’Etat en juin 2020. En effet, cette règle devrait mettre un terme à la délivrance « sauvage » des copies aux tiers qui a permis à certains de constituer un fonds documentaire, dans le cadre d’accords bilatéraux avec certains greffes.
Désormais, la délivrance des copies aux tiers ne pourra concerner que des décisions « précisément identifiées » (3). Pour les décisions de l’ordre judiciaire, le refus de délivrance ou le silence gardé pendant deux mois pourra donner lieu à un recours gracieux devant le président de la juridiction. Enfin, le greffier devra occulter les éléments permettant l’identification des personnes physiques de nature à porter atteinte à leur sécurité ou au respect de la vie privée des personnes ou celles de leur entourage, précision donnée que cette occultation sera automatique lorsqu’elle a été faite pour la mise à disposition du public. Le recours contre cette décision sera possible, par requête présentée par un avocat, devant le président de la juridiction auprès de laquelle le greffier exerce ses fonctions. Le président statuera par ordonnance, le demandeur et les personnes physiques, parties ou tiers, mentionnées dans la décision, si possible entendus ou appelés. En revanche, les questions relatives à l’exhaustivité et l’intégrité de la base de données demeurent entières alors que les résultats d’une recherche peuvent être différents selon la constitution de la base de données. Imaginons un instant que les décisions collectées soient toutes du Nord de la France sans tenir compte des jurisprudences d’autres régions.
S’agissant ensuite de l’occultation des données à caractère personnel, l’objectif consiste à trouver le juste équilibre entre le droit à l’information du public et le droit au respect de la vie privée des personnes concernées par les décisions de justice. La loi du 23 mars 2019 a prévu que les noms et prénoms des personnes physiques, parties ou tiers à l’affaire, seraient systématiquement anonymisés (4). Quant aux autres éléments identifiants, ils devront être occultés par le juge lorsque leur « divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage ». La décision d’occultation peut également porter sur tout élément de la décision dont la divulgation est susceptible de « porter atteinte aux intérêts fondamentaux de la Nation » (5).

Deux temps d’appréciation sont prévus
Pour la mise en œuvre de ce dispositif, le décret du 29 juin 2020 prévoit deux temps d’appréciation. Le premier temps se situe à la suite du prononcé du délibéré : le juge ou le président de la formation prend la décision d’occulter les informations indirectement identifiantes présentant l’un des deux risques précités (6). Le deuxième temps se situe après la publication en ligne de la décision : tout intéressé peut alors introduire, auprès d’un membre du Conseil d’Etat désigné par le vice-président du Conseil d’Etat (pour les décisions administratives) ou auprès d’un membre de la Cour de cassation désigné par le premier président (pour les décisions judiciaires), une demande d’occultation ou de levée d’occultation des éléments d’identification. Outre le fait qu’il en résulte une charge complémentaire pour les magistrats, ce mécanisme laisse au juge une marge très importante – trop ? – d’appréciation sur les informations dont la divulgation serait de nature à porter atteinte à la sécurité ou au respect de la vie privée des personnes citées dans la décision. Jusqu’à la publication sur Internet, les parties devraient pouvoir disposer d’une fenêtre de tir contrainte pour contester la décision d’occultation ou de non-occultation. Cependant, le décret ne précise rien à cet égard… Après la publication en ligne, le recours est le même pour tout intéressé, qu’il s’agisse d’une partie ou d’un tiers. La demande d’occultation ou de levée d’occultation des éléments d’identification est portée auprès du membre du Conseil d’Etat désigné par le vice-président du Conseil d’Etat ou auprès du membre de la Cour de cassation désigné par le premier président. Leur décision est elle-même susceptible de recours : pour les décisions de l’ordre administratif, il s’agit de « recours de plein contentieux » ; pour les décisions de l’ordre judiciaire d’un « recours devant le premier président de la Cour de cassation dans les deux mois suivant sa notification ».

Garanties et algorithmes : le CNB alerte
Malheureusement, le décret n’apporte aucune précision notamment au regard de mesures provisoires, par exemple la suspension de la publication dans l’attente que soit tranchée la question de l’occultation ou de la non-occultation. Or, nous savons que le temps de communication sur l’Internet n’est pas celui du temps judiciaire, posant là une simple question d’efficacité. Sera-t-il utile de requérir une occultation après que la décision aura été rendue publique et aura circulé sur les réseaux du Net ? Pour ces différentes raisons, le Conseil national des barreaux (CNB) a demandé des garanties en termes d’information des parties, de débat contradictoire et de droit de recours (7). Sur le premier point, le CNB demande que soient précisées les modalités d’information des parties quant à la décision prise concernant l’occultation, pour leur permettre d’initier, le cas échéant, un recours avant la mise en ligne de la décision ou avant la délivrance au tiers, afin de garantir réellement le respect du principe du contradictoire et de leur vie privée. Sur le deuxième point, il demande que les avocats puissent engager une discussion contradictoire sur l’occultation, dès leurs premières écritures et au plus tard, dans leur plaidoirie, pour permettre au juge de rendre une décision éclairée et au plus proche des enjeux du respect de la vie privée et de la sécurité des personnes. Enfin, troisième point, la notification aux parties de la décision d’occultation devrait être faite dans un temps raisonnable pour leur permettre d’initier, le cas échéant, un recours avant la mise en ligne de la décision.
Au-delà de ces garanties qu’il serait souhaitable d’apporter, le cadre juridique de l’open data des décisions judiciaires laisse encore de nombreuses questions sans réponse. L’encadrement du recours aux algorithmes n’est toujours pas d’actualité, ouvrant un large champ d’exploration aux acteurs privés qui s’y sont engouffrés. S’agissant de la justice et donc d’un service public « pas comme les autres », la régulation du marché des algorithmes est une priorité. Le CNB n’a de cesse de rappeler la nécessaire vigilance à avoir quant à l’utilisation qui sera faite des décisions de justice ainsi mises à disposition et la nécessité de garantir la transparence et l’éthique des algorithmes utilisés pour leur exploitation. Dans cet objectif, l’institution représentative des avocats formule une proposition de constitution ou de désignation d’une instance publique chargée de la régulation et du contrôle des algorithmes utilisés pour l’exploitation de la base de données des décisions de justice ainsi que de la réutilisation des informations qu’elle contient (8). Le CNB souhaite en être membre, aux côtés des plus hautes autorités de l’ordre judiciaire et de l’ordre administratif. Il préconise également que les appels d’offres à destination des acteurs privés incluent systématiquement le rappel de principes éthiques, à l’exemple de ceux proposés par le Conseil de l’Europe (9) via sa Commission européenne pour l’efficacité de la justice (CEPEJ), ou encore des sept principes posés par la Commission européenne pour une « IA de confiance » (10), mais aussi, pourquoi pas, de règles co-construites au sein de l’institution à créer ou à désigner. Les prérequis pour la conception des algorithmes pourraient s’inspirer des règles ethic by design ou legal by design.
La question de l’accès aux données intègres pour les avocats n’est pas non plus traitée. En effet, le décret du 29 juin 2020 est muet sur les autorisations d’accès au flux intègres. Les magistrats auront-ils accès aux décisions intègres – c’est-àdire non anonymisées et non occultées – ou auront-ils accès aux décisions anonymisées et occultées ? Dans le premier cas, l’accès différencié pour les magistrats et les avocats conduirait à une inégalité inacceptable. L’avocat, auxiliaire de justice (11), ne peut pas être assimilé au « public » visé par la loi du 29 mars 2019. A ce titre, l’institution représentative des avocats a tenu à rappeler, dans sa résolution du 14 décembre 2019, que « les avocats doivent, à l’instar des magistrats du siège comme du parquet, aussi auxiliaires de justice, avoir accès aux décisions intègres, sans anonymisation ni occultation des éléments indirectement identifiants, au nom de l’égalité des armes consacrée par l’article 6 de la Convention européenne des droits de l’homme ». La seule alternative acceptable serait que nous ayons, avocats et magistrats, accès à l’open data des décisions judiciaires, dans les mêmes conditions.

Groupe de travail « Réutilisation des données »
Le décret du 29 juin 2020 devrait être complété par d’autres textes (arrêtés, circulaires, …). La Chancellerie a annoncé la mise en place d’un groupe de travail dédié à la problématique de la réutilisation des données issues des décisions de justice. La première réunion sur ce thème, organisée par le ministère de la Justice, doit se tenir au cours cette rentrée. En espérant que le Conseil national des barreaux pourra apporter sa pierre à cet édifice qui modifie en profondeur la justice. @

* Christiane Féral-Schuhl, présidente du Conseil
national des barreaux (CNB), est ancien
bâtonnier du Barreau de Paris, et auteure de
« Cyberdroit », paru aux éditions Dalloz.

Facebook : l’Allemagne rouvre la voie à une régulation des données par le droit de la concurrence

Pour une surprise, c’est une surprise. La plus haute juridiction d’Allemagne a annulé une décision prise en référé par une cour d’appel du pays. Cette affaire pourrait impacter toute l’Europe puisqu’elle concerne Facebook qui se voir enjoint de cesser la fusion de données issues de plusieurs services.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

Le saga « Facebook » en Allemagne rencontre un nouveau rebondissement après la décision surprise de la Cour suprême fédérale d’Allemagne du 23 juin 2020. La « Bundesgerichtshof » (BGH) a en effet validé, au moins temporairement, la décision de l’autorité de concurrence allemande ordonnant à Facebook de cesser le traitement de données provenant de sources-tiers telles que Instagram ou de sites web tiers. La décision inédite du 6 février 2019 de l’autorité de la concurrence – la « Bundeskartellamt » – avait fait l’objet d’une suspension par la cour d’appel fédérale de Düsseldorf le 26 août 2019, suspension que la Cour suprême vient d’annuler.

Fusion des données : Facebook doit cesser
Du coup, le droit de la concurrence redevient une arme qui peut accompagner le règlement général européen sur la protection des données (RGPD) – en vigueur depuis le 25 mai 2018 – dans la lutte contre des pratiques excessives en matière de données personnelles. Cette décision pèsera dans le débat européen sur la régulation des plateformes structurantes. Comment en est-on arrivé là ? Remontons au 6 février 2019, date à laquelle l’autorité de la concurrence allemande a émis une décision inédite sur le plan mondiale : elle a jugé que la collecte excessive de données par Facebook, notamment auprès des services Instagram, WhatsApp et sites web tiers, constituait non seulement une violation du RGPD mais également un abus de position dominante au regard du droit de la concurrence.
La Bundeskartellamt – littéralement Office fédéral de lutte contre les cartels – a ordonné à Facebook de cesser cette collecte de ces données, estimant que le consentement donné par les consommateurs n’était pas valable car ceuxci n’avaient pas de véritable choix : soit on accepte de livrer ses données, soit on n’utilise pas le plus grand réseau social du monde. Dans une décision de 300 pages, l’autorité de concurrence a tenté d’argumenter que l’absence de consentement valait violation du RGPD et que cette violation valait « abus » au sens du droit de la concurrence qui interdit tout abus de position dominante. Elle a donc enjoint à Facebook d’arrêter de collecter les données en question. Cette injonction aurait sérieusement perturbé le modèle d’affaires de Facebook, et a pu créer un précédent dangereux dans d’autres pays, où les autorités de concurrence scrutent les moindres faits et gestes du réseau social. Dans une décision du 26 août 2019, la cour d’appel – l’« Oberlandesgericht » – de Düsseldorf a suspendu l’application de la décision de la Bundeskartellamt dans l’attente d’un jugement au fond. Dans sa décision de suspension, la cour d’appel n’a pas caché son désaccord avec le raisonnement de l’autorité de la concurrence. Selon la cour d’appel, le travail de l’autorité de la concurrence n’était pas d’appliquer le RGPD, mais d’appliquer le droit de la concurrence. Cette dernière a fait un amalgame inacceptable entre les principes de protection des données personnelles et les principes de protection de la concurrence, lesquels ne visent pas les mêmes objectifs. Selon la cour d’appel, l’autorité de la concurrence n’avait pas démontré en quoi la collecte excessive de données par Facebook, et la violation du RGPD, avaient un impact néfaste sur la concurrence.
Beaucoup d’observateurs estimaient que l’histoire se terminerait là, l’Oberlandesgericht Düsseldorf ayant mis définitivement fin à la folle idée que le droit de la concurrence pourrait venir en aide au RGPD. Mais l’histoire ne s’est pas arrêtée là, l’autorité de la concurrence ayant fait appel. La décision de la Cour suprême du 23 juin 2020 fut une surprise, car la BGH – plus haute juridiction allemande – annule rarement les décisions prises en référé (à savoir dans le cadre d’une procédure d’urgence) au niveau de la cour d’appel. Le résultat de cette nouvelle décision – non-encore publiée – est que l’injonction de l’autorité de la concurrence du 6 février 2019 reprend vie et Facebook doit immédiatement cesser de fusionner des données de différentes sources.

Violer le RGPD serait anticoncurrentiel
Sur le plan de la procédure, le match n’est pas terminé. L’affaire sera maintenant traitée au fond par la cour d’appel de Düsseldorf, et un autre appel est possible devant la Cour suprême, ainsi qu’une question préjudicielle devant la Cour de justice de l’Union européenne (CJUE). Mais pour l’instant la voie est de nouveau ouverte pour considérer qu’une violation du RGPD peut constituer un abus de position dominante au regard du droit de la concurrence. Le communiqué (1) de la Cour suprême dévoile son raisonnement, qui diffère du raisonnement de l’autorité de la concurrence. Selon la plus haute juridiction allemande, la liberté de choix des acteurs économiques est un principe essentiel de la concurrence et du bon fonctionnement des marchés. Les consommateurs sont des acteurs économiques comme les autres, et le fait – pour une entreprise en position dominante – de mettre le consommateur devant un choix qui n’en est pas un réduit sa liberté, créant ainsi une distorsion de la concurrence.

Liberté de choix des consommateurs : jusqu’où ?
La Cour suprême ne mentionne pas le RGPD, mais fonde son raisonnement uniquement sur l’effet néfaste des pratiques sur la liberté de choix des consommateurs, créant ainsi un lien solide entre les mauvaises pratiques en matière de données personnelles et le droit de la concurrence, un lien que l’autorité de la concurrence n’avait peut-être pas assez développé. La BGH mentionne également le possible impact sur le marché de la publicité en ligne, créant un autre lien possible entre les pratiques de Facebook et les principes de droit de la concurrence.
La Cour suprême allemande ayant mis l’accent sur la liberté de choix des consommateurs, on peut s’interroger sur les limites de cette liberté. Est-ce que les consommateurs peuvent du coup refuser tout traitement lié à la publicité personnalisée, tout en exigeant de bénéficier des services gratuits, ce qui reviendrait à interdire les « cookie walls » ? Les consommateurs peuvent-ils avoir « le beurre et l’argent du beurre » ? Dans le cas Facebook, la BGH semble considérer normal le traitement de données pour la publicité personnalisée dès lors que les données sont générées à l’intérieur du réseau social lui-même.
Lier l’utilisation du service à l’acceptation de ce traitement de données « intra-muros » ne serait pas abusif, car c’est ce qui se passerait probablement dans un environnement concurrentiel. En revanche, lier l’utilisation du service à l’acceptation de la collecte de données provenant d’autres services et sites web « extra-muros » n’est pas une pratique que l’on s’attendrait à voir dans un marché pleinement concurrentiel. En présence d’une concurrence effective sur le marché des réseaux sociaux, il est probable que d’autres acteurs proposeraient un service gratuit sans ce type de collecte de données tiers.
Comme dans toute affaire de droit de la concurrence, l’impact sur la concurrence s’apprécie par un jeu de comparaison : on compare la situation réelle qui existe en présence d’un acteur dominant à une situation fictive, contrefactuelle, où il existerait une concurrence effective sur le marché. C’est en comparant ces deux scénarios que l’on apprécie l’impact sur la concurrence d’une pratique. Souvent, les autorités de la concurrence mettent l’accent sur l’impact d’une pratique sur les autres acteurs du marché : réseaux sociaux concurrents, annonceurs, prestataires de publicité, ainsi que sur les prix pour le consommateur. Une augmentation des prix est un signe d’une concurrence défaillante. Pour un service gratuit tel que Facebook, l’augmentation du prix n’est pas un critère utile, car le prix officiel reste toujours zéro. En revanche, la diminution de la qualité est également un facteur à prendre en compte, et s’apprécie non seulement par rapport à la qualité des services numériques rendus, mais également par l’imposition de conditions d’utilisation pénalisantes, telles que celles imposées par Facebook en matière de données personnelles (livrer ses données, sinon pas de possibilité d’utiliser le réseau social). Comme le souligne le rapport du Stigler Center de septembre 2019, une baisse de qualité à travers l’imposition de conditions pénalisantes en matière de traitement de données personnelles devient l’équivalent d’une augmentation du prix (2).
Par l’utilisation excessive de ses données, le consommateur paie plus cher que ce qu’il paierait dans un marché pleinement concurrentiel. Selon les universitaires auteurs du rapport Stigler, le droit de la concurrence est ainsi équipé pour sanctionner des pratiques abusives dans le traitement des données, à condition de pouvoir démontrer ce type de baisse de qualité pour le consommateur. Ce raisonnement est maintenant repris par la Cour suprême d’Allemagne. Reste le problème du temps. Les affaires en droit de la concurrence prennent généralement des années, et l’affaire Facebook n’est pas une exception. L’autorité de la concurrence allemande a commencé ses enquêtes en 2016, et l’affaire n’est toujours pas réglée. Le gouvernement allemand envisage de modifier sa loi sur la concurrence pour permettre à l’autorité de la concurrence d’aller plus vite à l’égard de plateformes structurantes.

L’Allemagne pourrait inspirer l’Europe
L’initiative allemande pourrait servir de modèle pour la modernisation des règles de concurrence (« New Competition Tool ») actuellement étudiée au niveau de l’Union européenne (3) et soumise à consultation publique jusqu’au 8 septembre prochain (4). En parallèle, la Commission européenne étudie la possibilité de réguler les plateformes structurantes par une approche ex ante (« Digital Services Act »), comme en matière de télécommunications (5). La décision de la Cour suprême allemande ravive un vieux débat sur la meilleure manière de réguler les opérateurs puissants (ceux exerçant une influence significative sur le marché pertinent considéré), soit à travers une régulation ex post fondée sur le droit de la concurrence, soit à travers une régulation sectorielle ex ante, comme en télécommunications. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

Pour la reconnaissance faciale à distance ou locale, les enjeux éthiques ne sont pas les mêmes

Identifier un visage dans une foule soulève de sérieuses questions sur les libertés individuelles. Mais il existe de nombreux autres usages de la reconnaissance faciale, notamment la validation d’identité en local. Ces utilisations ont vocation à se développer mais posent d’autres questions éthiques.

Par Winston Maxwell* et David Bounie**, Telecom Paris, Institut polytechnique de Paris

L’utilisation de la reconnaissance faciale pour l’identification à distance constitue une menace pour les libertés individuelles, car cela tend à banaliser une société de surveillance. Selon le New York Times, une start-up américaine Clearview AI a déjà fabriqué des gabarits d’identification de 3 milliards d’individus à partir d’images copiées sur le Web (1). N’importe quelle force de l’ordre – mais pas le grand public (2) – peut utiliser le logiciel de Clearview AI et identifier les visages dans une foule. Cependant, plusieurs villes américaines ont temporairement banni cette utilisation de la technologie par leurs autorités publiques.

Outils de surveillance généralisée
En Europe, la Commission européenne appelle à un grand débat européen sur l’utilisation de la reconnaissance faciale pour l’identification à distance. En France, le secrétaire d’Etat au numérique, Cédric O, souhaite lancer des expérimentations. Pour l’identification à distance, il faut avancer à tâtons pour trouver le bon équilibre entre les impératifs de sécurité publique et la préservation des valeurs démocratiques. Mais ce débat n’est pas différent au fond de celui qui, depuis 50 ans, entoure les technologies de surveillance des communications électroniques. La technologie utilisée pour la surveillance des communications n’a pas cessé d’évoluer : IMSI-catchers ou intercepteurs d’IMSI (3), boîtes noires, Deep Packet Inspection (DPI), captation à distance, … Ces outils permettraient une surveillance généralisée de la population. Leur utilisation en France est interdite, sauf par les forces de polices et des autorités de renseignement sous le contrôle de juges et de la CNCTR (4).
En application de la jurisprudence européenne, l’utilisation de technologies invasives de surveillance par l’Etat se justifie uniquement si l’utilisation est prévue par une loi. Et ce, pour faire face à une menace particulièrement grave, la lutte contre le terrorisme par exemple, et sous le contrôle d’un juge ou d’une commission indépendante. L’utilisation de la reconnaissance faciale pour identifier les individus à distance devrait suivre la même trajectoire : interdiction, sauf pour les autorités de police ou de renseignement sous le contrôle des juges. D’ailleurs, c’est déjà ce qui est prévu par la directive européenne européenne dite « Police-Justice » (5) de 2016, puisque la reconnaissance faciale est un traitement biométrique soumis à des règles strictes. Mais il existe un deuxième type d’utilisation, non-évoqué par la Commission européenne dans son livre blanc (6) sur l’intelligence artificielle (IA). Il s’agit de valider l’identité « en local » d’un individu en comparant sa photo « selfie » avec la photo de la pièce d’identité. Cette utilisation permet notamment d’ouvrir un compte bancaire à distance ou bien de passer plus vite dans un portique automatique à l’aéroport. Cette utilisation de la reconnaissance faciale se généralise, et elle paraît – de prime abord – moins attentatoire aux libertés individuelles : d’une part, parce que les personnes sont conscientes et consentantes de l’utilisation (ce qui n’est pas le cas pour l’identification à distance) ; d’autre part, parce qu’aucune image ni gabarit biométrique n’est stocké de manière centralisée. La vérification s’effectue en local, comme pour déverrouiller un smartphone avec l’empreinte digitale. Le système crée un gabarit biométrique à partir de la photo du passeport, analyse ensuite la photo de selfie, crée un deuxième gabarit biométrique du selfie, et compare les deux gabarits pour établir une probabilité de correspondance. Ensuite les gabarits sont détruits (lire encadré page suivante). La reconnaissance faciale locale soulève néanmoins des questions éthiques et juridiques importantes : l’existence d’un consentement libre, le problème des biais, l’explicabilité des algorithmes, et la difficile articulation avec le règlement général sur la protection des données (RGPD) pour la phase d’entraînement. La reconnaissance faciale « locale » pose la question du consentement libre. Si la personne subit des conséquences négatives en refusant la reconnaissance faciale, le consentement ne sera pas libre. Il en sera de même si le consentement est demandé par une personne jouissant d’une position d’autorité, par exemple si la direction d’un lycée demandait aux élèves de consentir à l’utilisation de la reconnaissance faciale pour rentrer dans l’établissement (7).

Les biais statistiques sont inévitables
Concerne les biais cette fois, le Parlement européen a appelé le 12 février 2020 à l’utilisation d’algorithme qu’il faut entraîner avec des données « non-biaisées » (8). Or, une telle condition est impossible à satisfaire en pratique. Certains groupes de la population seront toujours sous-représentés dans les images d’entraînement, ce qui signifie que les biais statistiques seront inévitables. Cela peut conduire à des niveaux de performance inégaux selon le genre, la couleur de peau ou la situation de handicap d’une personne. Par exemple, l’algorithme pourrait avoir plus de difficulté à identifier une femme noire qu’un homme blanc au moment de la vérification de l’identité à l’aéroport. Ces biais peuvent exister sous une forme bien pire chez les humains. Mais pour un algorithme, ce genre de biais est peu acceptable. Corriger ces biais dans l’algorithme est possible, mais cela soulève d’autres questions. Par exemple, si l’algorithme a un taux d’erreur élevé pour des personnes atteintes d’une certaine maladie de la peau, devons-nous baisser artificiellement le niveau de performance pour tous les autres groupes de la population pour que le taux d’erreur soit équivalent ? Ces questions deviennent rapidement politiques : à partir de quel moment un biais algorithmique devient-il suffisamment problématique pour le corriger, ce qui affectera inévitablement la performance de l’algorithme pour les autres personnes ?

Savoir s’il y a discrimination algorithmique
Un autre aspect éthique de la reconnaissance faciale concerne l’explicabilité des algorithmes. En France, le code des relations entre le public et l’administration garantit à chaque individu le droit d’obtenir une explication lorsqu’un algorithme géré par l’Etat prend une décision à son encontre (9). Logiquement, ce droit exige que l’exploitant de l’algorithme soit en mesure d’expliquer à une personne pourquoi un système n’a pas pu vérifier son image par rapport à sa pièce d’identité. Techniquement, des solutions d’explicabilité existent, même pour des réseaux de neurones. Mais fournir une explication exige le stockage d’informations, et notamment les gabarits générés par l’algorithme. Or, le RGPD et la directive « Police- Justice » interdisent généralement ce stockage, surtout lorsqu’il s’agit de données biométriques.
Résultat : dans certains cas, il n’y aura aucune explication quant au refus du système de vérifier l’identité. Le système ne réussira pas à identifier la personne, sans que la personne puisse vérifier si elle a fait l’objet d’une discrimination algorithmique. Cette absence de transparence pose une difficulté au niveau des droits fondamentaux, comme le démontre une récente décision du tribunal de la Haye (10).
Enfin, l’entraînement des algorithmes de reconnaissance faciale est difficile à réconcilier avec le RGPD. Pour réduire les discriminations, l’Agence européenne des droits fondamentaux (FRA) souligne la nécessité d’entraîner l’algorithme sur une grande quantité d’images représentatives de la population, et notamment les personnes vulnérables (11). Or cette condition est quasiment impossible à remplir en Europe puisque le RGPD et la directive « Police-Justice » interdisent la création de grandes bases d’images, surtout lorsque les images sont étiquetées selon la couleur de peau ou la situation de handicap. Les systèmes américains et chinois bénéficient, eux, d’entraînement sur des dizaines de millions d’images, ce qui crée un avantage concurrentiel considérable. De plus, les tests de non-discrimination des algorithmes s’effectuent tous aux Etats-Unis à l’agence NIST (12), même pour les systèmes européens.
L’entraînement des algorithmes pose un problème particulier puisque le gabarit d’un visage est considéré comme une donnée biométrique. Or le RGPD interdit le traitement de données biométriques, hormis des cas limités – par exemple, le consentement explicite de la personne. Du coup, un entraînement sur des millions d’images récupérées sur Internet devient impossible par une société européenne puisque l’entraînement nécessite la création, au moins temporaire, de gabarits, une donnée biométrique. Une solution pourrait consister en l’assouplissement des conditions d’application du RGPD lorsqu’il s’agit de créer des gabarits éphémères pour l’apprentissage des algorithmes dans des environnements contrôlés, voire de considérer que ces gabarits ne sont pas des données biométriques puisque la finalité de leur traitement n’est pas l’identification d’une personne mais seulement l’entraînement de l’algorithme. Lorsque l’algorithme est mis en exploitation, les dispositions du RGPD ou de la directive « Police-Justice » sur la biométrie retrouveraient toute leur force, puisque les gabarits seraient bien utilisés pour identifier des personnes. Le consentement explicite de la personne, ou en cas d’intérêt public et de nécessité absolue, serait alors nécessaire. @

* Winston Maxwell, ancien avocat, est depuis juin 2019 directeur d’études
Droit et Numérique à Telecom Paris. ** David Bounie est directeur du
département Economie et Sciences sociales à Telecom Paris.

ZOOM

Qu’est-ce qu’un gabarit ?
Un gabarit est l’équivalent d’un code barre qui contient les mensurations uniques d’un visage. La clé du succès en matière de reconnaissance faciale est de créer un algorithme capable de générer des gabarits de qualité à partir d’images d’individus. Un algorithme de qualité doit savoir générer le même gabarit pour l’image de Paul, quelles que soient les différences de lumière, d’angle de vue et de netteté de l’image de Paul. Pour entraîner l’algorithme, on va présenter à un réseau de neurones 100 photos d’une même personne — par exemple Angelina Jolie — récupérées sur le Web, avec des angles de vue et des lumières différents, et demander au réseau de neurones de trouver une formule mathématique qui permettra pour chaque photo d’Angelina Jolie de générer le même gabarit, quels que soient l’angle de vue ou la lumière. Les gabarits générés pendant l’apprentissage sont éphémères. Ils servent uniquement à aider l’algorithme à trouver la bonne formule mathématique. Une fois cette formule mathématique unique établie, elle peut s’appliquer à n’importe quelle nouvelle photo de passeport et générer, pour cette photo, un gabarit de qualité. L’algorithme va ensuite générer un deuxième gabarit à partir d’une deuxième photo (par exemple un selfie), et si l’algorithme est bien fait, les deux gabarits vont correspondre malgré les différences d’angle de vue et de lumière. La qualité de cet algorithme est au cœur des systèmes de reconnaissance faciale. @