Pourquoi Mark Zuckerberg aurait dû démissionner

En fait. Le 8 mai, Facebook a confirmé avoir procédé au plus vaste remaniement de son top-management depuis ses 14 ans d’existence – information révélée
par Recode.net. Mais son fondateur Mark Zuckerberg reste en place malgré le scandale historique de la fuite des données de millions d’utilisateurs.

En clair. Le fondateur de Facebook, groupe aujourd’hui constitué de Facebook, WhatsApp, Instagram ou encore Messenger, reste intouchable et tout-puissant. Le jeune dirigeant, qui aura 34 ans le 14 mai prochain, n’a pas à s’inquiéter pour son poste de PDG malgré le scandale planétaire de l’affaire historique « Cambridge Analytica », du nom de la société britannique qui a fait main basse sur les données de près de 100 millions d’utilisateurs du premier réseau social mondial. Alors qu’il est directement mis en cause et jugé responsable en tant que dirigeant, Mark Zuckerberg n’a pas voulu démission ni endosser la responsabilité de cette faillite dans la protection des données d’une grande partie des 2,2 milliards d’utilisateurs.
Plus jeune multimilliardaire de la planète – avec un patrimoine personnel de 70,7 milliards de dollars en 2018, selon Forbes –, le patron hyermédiatique a en outre été accusé de légèreté. En avril, des investisseurs américains tels que Open Mic ou le fonds de retraite de la ville de New York lui ont demandé de démissionner. D’autres voix se sont prononcées pour qu’il parte. D’autant que l’action Facebook a chuté de 15 % – soit quelque 100 milliards de volatilisés ! – depuis le début de cette affaire, laquelle laissera des traces et aura des suites. Cette déroute intervient après que le réseau social ait été accusé d’avoir été manipulé par la Russie pour l’élection de Trump et d’être un média social de fake news. Mais celui qui est aussi l’actionnaire de référence du groupe (1), entré en Bourse il y aura six ans le 18 mai prochain, et président du conseil d’administration (lequel n’a pas jugé bon de le destituer), a clairement dit dès
le début du scandale – notamment dans une interview au mensuel culturel américain The Atlantic (2) – qu’il n’avait pas l’intention remettre sa démission.
Pas plus que son bras droit, la DG du réseau social Sheryl Sandberg qui reste en place dans cette nouvelle organisation, n’a envisagé de partir de son propre chef : « Je suis à la disposition de Mark et de notre conseil d’administration », avait-t-elle pourtant dit le 6 avril dernier. « Zuck », lui, s’en tire à bon compte, du moins pour l’instant, après s’être contenté de présenter ses excuses devant le Congrès des Etats-Unis. Cela sera-t-il suffisant devant la Commission européenne, plus sourcilleuse sur la protection des données personnelles ? @

Dégrouper la « box » des opérateurs aux Etats-Unis : idée transposable aux objets connectés en Europe

Le régulateur américain des communications, la FCC, s’apprête à changer
de président pour être « Trump » compatible. Du coup, ses propositions de dégrouper les set-top-boxes des câblo-opérateurs risquent d’être enterrées
avant d’avoir existé. Pourtant, elles méritent réflexion – y compris en Europe.

Par Winston Maxwell*, avocat associé, Hogan Lovells

La prise de fonctions le 20 janvier 2017 du nouveau président des Etats-Unis, Donald Trump, sera suivie de la démission du président actuel de la FCC (1), Tom Wheeler. Le successeur
de ce dernier, issu du Parti républicain, sera nommé pour le remplacer. Le départ de Tom Wheeler (2) signifie l’abandon probable de l’idée de dégrouper le décodeur des câblo-opérateurs américains. Cette idée, qui a fait l’objet d’une proposition adoptée par la FCC le 28 février dernier, mérite néanmoins notre attention car elle illustre les enjeux liés à la télévision connectée et plus généralement au partage de données collectées dans le cadre des objets connectés.

Des set-top-boxes peu performantes
D’abord examinons la notion de « dégroupage » d’un décodeur, appelé aux Etats-Unis set-top-box. Les services de transmission d’un câblo-opérateur se divisent en deux
« tuyaux » logiquement distincts. Le premier tuyau consiste en la transmission de programmes utilisant de la bande passante réservée à cet effet. Il s’agit de services de transmission gérés de bout en bout par le câblo-opérateur. Le deuxième tuyau consiste en la fourniture d’un service d’accès à Internet. Cette deuxième partie du service est ouverte et soumise aux règles sur la neutralité de l’Internet. Pour accéder à l’offre télévisuelle sur la partie gérée du service, le téléspectateur doit utiliser un décodeur fourni par le câblo-opérateur. Aux États-Unis, la fourniture de cette « box » est payante, le téléspectateur s’acquittant d’un loyer mensuel. Selon la FCC, ce décodeur est non seulement cher, mais il est aussi peu performant, la technologie ayant peu évolué depuis une décennie. Les téléspectateurs américains semblent donc prisonniers d’une situation où le câblo-opérateur leur impose la location d’un décodeur peu performant. En 2015, la FCC, a lancé une première consultation publique pour mettre fin au monopole de fait qui existe en faveur des câblo-opérateurs pour la fourniture de leurs décodeurs. L’idée était de créer un marché dynamique où les développeurs indépendants pourraient proposer des fonctions qui aujourd’hui sont regroupées au sein du décodeur. Car cette « box » agrège plusieurs fonctions distinctes. La fonction
la plus basique consiste à transformer les signaux vidéo en images et sons lisibles par le téléviseur. Mais elle gère également l’accès aux programmes payants. Pour ce faire, elle a une fonction d’authentification et de gestion des conditions d’accès. Ces systèmes font régulièrement l’objet d’attaques par des pirates qui essayent de contourner le système afin d’organiser un marché noir d’accès aux programmes payants. C’est pour cette raison que les câblo-opérateurs et les ayant droits ne souhaitent pas que cette fonction soit séparée du décodeur, car l’existence d’un décodeur physique permet d’augmenter les mesures d’anti-piratage. Une autre fonction de la « box » est de fournir le guide électronique de programmes – Electronic Program Guide (EPG) – et de gérer les fonctions de recherches de programmes et de navigation. Les décodeurs actuels semblent archaïques comparé à l’interface d’une tablette ou d’un smartphone. C’est pour cette raison que la FCC a souhaité envisager de dégrouper les différentes fonctions du décodeur afin de permettre plus d’innovation et de choix au bénéfice du téléspectateur. La première proposition de la FCC aurait contraint les câblo-opérateurs à fournir des flux de données selon un standard ouvert, de manière à permettre à n’importe quel développeur d’intégrer ces fonctions dans différents types de terminaux. Ces fonctions pourraient être intégrées par exemple
dans le logiciel de navigation d’une tablette, ou d’une télévision connectée. La FCC
a rencontré une forte résistance de la part des câblo-opérateurs et des ayant droits. Dégrouper la fonction d’authentification et de gestion des conditions d’accès augmenterait le risque de piratage. La FCC a ainsi fait marche arrière et a proposé
une solution de compromis par laquelle le câblo-opérateur fournirait une application téléchargeable sur une tablette ou télévision connectée. Cette application resterait
sous le contrôle du câblo-opérateur permettant un niveau plus élevé de sécurité que
s’il s’agissait d’une application tierce.

Les enjeux de l’interface et des données
Mais la sécurité n’est pas le seul enjeu. La FCC souhaitait également ouvrir à la concurrence les fonctions du décodeur liées à l’interface avec les utilisateurs.
Cette proposition s’est également heurtée à une opposition des câblo-opérateurs
qui craignaient la perte de leurs relations commerciales avec leurs abonnés. L’enjeu était ici commercial. La maîtrise de l’interface de navigation permettrait à un prestataire tiers d’organiser la page d’accueil, d’apposer ses propres marques, et surtout de collecter des données sur les habitudes des téléspectateurs. Aux yeux des câblo-opérateurs, le décodeur reste un rempart contre la captation de la valeur des données par les grands prestataires d’Internet.

Dégroupage des objets connectés ?
A première vue, le dégroupage des « box » semble similaire à l’ouverture à la concurrence des téléphones dans les années 1990. Le dégroupage des téléphones a conduit à une vague d’innovation sans précédent, aux extrémités des réseaux. Cette innovation se perpétue encore aujourd’hui sur l’Internet, où il est possible d’« innover sans permission » – pour emprunter les termes de Yochai Benkler (3) – aux extrémités du réseau. Le droit d’innover aux extrémités du réseau est aujourd’hui garantie par la régulation sur la neutralité de l’Internet. Mais les règles sur la « Net Neutrality » ne s’appliquent pas aux services « gérés », comme la télévision accessible sur les « box ». S’agissant d’un opérateur de télécommunications bénéficiant d’un monopole juridique, imposer le dégroupage des terminaux en 1990 semblait logique. La question devient plus complexe lorsque l’opérateur en cause évolue dans un marché concurrentiel.
La proposition de la FCC fournit un exemple des complexités qui se transposent facilement à l’Internet des objets, où l’accès aux données est devenu un enjeu clé
pour l’innovation : compteurs électriques intelligents, maisons connectées, ou encore véhicules connectés. Obliger une entreprise privée à ouvrir à des tiers l’accès aux données de ses clients peut sembler à première vue attrayant pour encourager l’innovation. Mais vue de plus près, la question est complexe (4) et la notion
d’« innovation » incertaine (voir encadré ci-dessous), sans même parler de la protection des données à caractère personnel, un enjeu crucial. L’étude de l’Autorité de la concurrence (France) et de la Competition and Markets Authority (Grande-Bretagne) sur les écosystèmes et leurs effets sur la concurrence – analyse conjointe publiée en décembre 2014 (5) – montre que l’existence d’un écosystème fermé ne se traduit pas forcément par une diminution de la concurrence et de l’innovation. Chaque situation doit être examinée séparément. La même conclusion découle de l’étude récente conduite par la même Autorité de la concurrence avec cette fois la Bundeskartellamt (Allemagne) sur la collecte de données par les plateformes – analyse conjointe publiée en mai 2016 (6). Cette collecte de données ne conduit pas forcément à une diminution de l’innovation et de la concurrence.
La Commission européenne s’est exprimée le 10 janvier dernier sur le partage de données collectées dans le contexte des terminaux, compteurs ou encore véhicules connectés. Selon sa communication intitulée « Construire une économie européenne de la donnée » [« Building a European Data Economy », lire l’article pages 6 et 7, ndlr], la Commission européenne souligne la nécessité d’encourager le partage tout en respectant les négociations commerciales, la sécurité des systèmes, et l’investissement des entreprises ayant permis la production des données. Le débat sur le dégroupage des « box » et autres plateformes d’objets connectés promet de rester vif. @

* Winston Maxwell a eu l’occasion d’exposer la question du
dégroupage des « box » aux Etats-Unis au CSA Lab lancé
14 juin 2016, dont il est l’un des neuf membres experts,
ainsi qu’au Conseil d’Etat lors du colloque « Concurrence et
innovation à l’ère du numérique » le 9 décembre 2016.

ZOOM

Encourager l’innovation par la régulation, mais quelle « innovation » ?
Pour élaborer un système réglementaire qui favorise l’innovation, encore faut-il pouvoir la mesurer. Or, mesurer le niveau d’innovation est compliqué. Dans les années 1990, des recherches ont été faites aux Etats-Unis sur le lien entre la régulation sur la protection de l’environnement et l’innovation. A l’époque, certains disaient que la régulation favorisait l’innovation : cela s’appelait « l’hypothèse de Porter ». Valider cette hypothèse nécessite de se mettre d’accord sur ce que l’on entend par « innovation ».
Si l’on mesure l’innovation par les dépenses de recherches dédiées aux problèmes
de conformité (on parle de compliance innovation), alors, oui, la régulation conduit généralement à une augmentation de l’innovation. En revanche, si l’on mesure l’innovation par d’autres critères, par exemple le nombre de brevets déposés ou le nombre de start-up levant des fonds de capital risque, la réponse sera différente. Sans pouvoir mesurer l’innovation, on navigue à l’aveugle. La régulation peut elle-même innover. Certains auteurs prônent une régulation « adaptative » et « expérimentale »
qui s’adapterait en fonction des résultats observés. Préconisée dans la dernière étude annuelle du Conseil d’Etat, la réglementation expérimentale serait particulièrement bien adaptée aux marchés numériques, où le risque d’erreur est élevé. Mais cette forme de régulation nécessiterait des mécanismes de suivi sur l’efficacité de la régulation, et ces mécanismes sont rares. @

La Commission européenne est décidée à favoriser, tout en l’encadrant, l’économie de la data

Dans une communication publiée le 10 janvier 2017, la Commission européenne prévoit de favoriser – tout en l’encadrant – le commerce des données numériques. Cette régulation de la data suppose notamment de réviser dès
cette année la directive de 1996 sur la protection des bases de données.

L’année 2017 sera placée sous le signe de la data. La Commission européenne veut encadrer l’exploitation des données dans une économie de plus en plus numérique.
La communication qu’elle a publiée le 10 janvier, sous le titre
« Construire une économie européenne de la donnée » (1), devait être rendue publique en novembre. Finalement, elle
l’a été avec deux mois de retard et fait l’objet d’une vaste consultation publique – jusqu’au 26 avril prochain.

Une loi européenne d’ici juin 2017 ?
Ces nouvelles règles sur la data utilisée à des fins commerciales doivent mieux encadrer la manière dont les entreprises s’échangent des données numériques entre elles pour développer leur chiffre d’affaires et générer des pro f i t s . I l s’agit d’év i ter que les consommateurs – internautes et mobinautes – soient pris au piège d’accords d’utilisation qu’ils ne pourraient pas refuser, donnant ainsi implicitement à d’autres entreprises que leur fournisseur numérique l’accès à leurs données personnelles. Toutes les entreprises sont potentiellement concernées. Si la communication n’a pas de caractère contraignant, la Commission européenne se réserve la possibilité de légiférer si les entreprises n’appliquaient pas ses suggestions sur le partage de données. Andrus Ansip (photo), viceprésident de la Commissaire européen en charge du Marché unique numérique et – depuis le 1er janvier 2017 – de l’Economie et de la Société numériques (2), a déjà laissé entendre qu’un texte législatif sur la propriété des données et l’accès à ces données pourrait être proposé d’ici juin 2017.
Tous les secteurs de l’économie – industries, services, e-commerce, … – sont en ligne de mire. Déplorant l’absence d’étude d’impact, un cabinet d’avocats (Osborne Clarke)
a recommandé à la Commission européenne de ne pas se précipiter à édicter une nouvelle loi. De nombreux secteurs économiques craignent cette régulation de la data et la perçoivent comme un frein à leur développement. Par exemple, dans l’industrie automobile, l’Association européenne des constructeurs d’automobiles (3) a fait savoir lors d’une conférence à Bruxelles le 1er décembre dernier sur le thème de
« Smart cars: Driven by data » que les données des conducteurs appartenaient aux constructeurs, lesquels pouvaient les vendre à d’autres entreprises. Au moment où la voiture connectée et/ou autonome démarre sur les chapeaux de roue, les industriels
de l’automobile entendent garder la maîtrise des données collectées et leur exploitation comme bon leur semble. Or la Commission européenne souhaite au contraire ne pas laisser faire sans un minimum de règles communes et en appelle à des expérimentations comme dans le cadre du programme CAD (Connected and Autonomous Driving). Les autres secteurs ne sont pas en reste. Cela concerne aussi
le marché de l’énergie (comme les compteurs intelligents), le domaine de la maison connectée, la santé ou encore les technologies financières. En outre, le potentiel de l’Internet des objets (des thermostats aux lunettes connectées), des usines du futur ainsi que de la robotique connectée est sans limite et le flux de données en croissance exponentielle.
Alors que la data constitue plus que jamais le pétrole du XXIe siècle, tant en termes d’économie de marché, de création d’emplois et de progrès social, elle est devenue centrale. L’économie de la donnée est créatrice de valeur pour l’Europe, avec 272 milliards d’euros de chiffre d’affaires généré en 2015 – soit 1,87 % du PIB européen.
Ce montant pourrait, selon les chiffres fournis par la Commission européenne, pourrait atteindre 643 millions d’euros d’ici 2020, soit 3,17 % du PIB européen (4).

Encadrer sans freiner l’innovation
La communication « Construire une économie européenne de la donnée » veut donner une impulsion à l’utilisation des données à des fins lucratives, tout en l’encadrant, sans attendre l’entrée en vigueur à partir du 25 mai 2018 de la nouvelle réglementation européenne sur la protection des données (5). Mais la Commission européenne ne veut pas non plus freiner les Vingt-huit dans le développement de l’économie de la donnée et creuser un peu plus l’écart avec les Etats- Unis. Aussi, voit-elle dans la régulation de la data une manière de contribuer au développement du marché unique numérique en donnant un accès le plus large aux bases de données – au Big Data – et en empêchant les barrières à l’entrée au détriment des nouveaux entrants et de l’innovation. Objectif : favoriser la libre circulation des données au sein de l’Union européenne, ainsi que la libre localisation de ces données dans des data centers, sans que ces échanges et ces stockages se fassent au détriment des consommateurs et de leur libre arbitre. Il s’agit aussi d’éviter la fragmentation du marché unique numérique par des réglementations nationales différentes selon les pays européens. La data se retrouve au cœur du marché unique numérique, que cela soit en termes de flux libres, d’accès, de transfert, de responsabilité, de sécurité, de portabilité, d’interopérabilité et de standardisation.

Pour la libre circulation des données
Dans sa communication « Construire une économie européenne de la donnée », dont un draft était disponible en ligne depuis décembre dernier, Bruxelles réaffirme la libre circulation des données (free flow of data) au sein de l’Union européenne et s’oppose aux barrières réglementaires numériques telles que l’obligation de localiser les données dans le pays concerné (6). Dans le prolongement de sa communication, la Commission européenne discutera avec les Etats membres sur les justifications et la proportionnalité des mesures réglementaires de localisation des données, ainsi que de leurs impacts sur notamment les petites entreprises et les start-up. Bruxelles est prêt à durcir le ton en cas de localisation abusive des données.
Partant du principe que les données peuvent être personnelles ou non personnelles, il est rappelé que la réglementation de 2016 sur la protection des données personnelle (en vigueur à partir de fin mai 2018), s’applique aux premières. Et quand un appareil connecté génère de la donnée qui permet d’identifier une personne, cette donnée est considérée comme étant à caractère personnel jusqu’à ce qu’elle soit anonymisée.
Or, constate la Commission européenne, l’accès aux données au sein des Vingt-huit est limité. La plupart des entreprises utilisant une grande quantité de données le font en interne. La réutilisation des données par des tiers ne se fait pas souvent, les entreprises préférant les garder pour elles-mêmes. De plus, beaucoup d’entreprises n’utilisent pas les possibilités des API (Application Programming Interfaces) qui permettent à différents services d’interagir avec d’autres en utilisant les données extérieures ou en partageant les siennes. Peu d’entreprises sont en outre équipées d’outils ou dotées de compétences pour quantifier la valeur économique de leurs données.
Quant au cadre réglementaire, au niveau européen ou à l’échelon national, il ne les incite pas à valoriser leur capital data. S’il y a bien le nouveau règlement sur la protection des données personnelle, les données brutes impersonnelles produites
par les machines échappent à l’actuel droit sur la propriété intellectuelle faute d’être
« intelligentes ». Tandis que la directive européenne du 11 mars 1996 sur la protection juridique des bases de données permet, elle, aux auteurs de bases de données le droit d’empêcher l’extraction et/ou la réutilisation de tout ou partie de leurs bases de donnés. Sans parler de la nouvelle directive européenne sur le secret des affaires, à transposer par les Etats membres d’ici juin 2018, qui limite l’accès à certaines informations capitales pour l’entreprise. Difficile de s’y retrouver dans ce dédale de textes législatifs. Un cadre réglementaire plus lisible et compréhensible est donc nécessaire, aux yeux de la Commission européenne, pour les données générées par les machines et les objets connectés, sur leur exploitation et leur traçabilité. Faute de quoi, l’économie de la data continuera de relever le plus souvent de relations contractuelles. Or, Bruxelles estime que cela ne suffit pas et qu’il faut un cadre adapté pour les nouveaux entrants et éviter les marchés verrouillés. Ceux que la Commission européenne appelle les propriétaires de facto de données que leurs écosystème génère ont un avantage compétitif sur leur marché, surtout en l’absence de réglementation ou de cadre juridique appropriés.

Afin que les réglementations nationales différentes ne s’imposent au détriment d’une harmonisation communautaire et des services de données transfrontaliers, une législation sur l’accès aux données pourrait voir le jour en Europe afin : d’encadrer le commerce de données générées par les appareils connectés, de faciliter et d’inciter
au partage de telles données, de protéger les investissements et les actifs, d’éviter la divulgation de données sensibles ou confidentielles, et de minimiser les effets de blocage (lockin) dans l’accès aux données.
La Commission européenne prévoit notamment : de réviser en 2017 la directive
« Bases de données » de 1996, de favoriser le développement les API pour faciliter
la création d’écosystèmes numériques, d’édicter des contrats-type portant sur l’exploitation de données, de contrôler les relations contractuelles B2B (7) et d’invalider des clauses abusives, de donner accès aux données d’intérêt général ou issues des services publics (8), d’instaurer un droit des producteurs de données à accorder des licences d’utilisation de ces données, et, enfin, de donner accès à la data contre rémunération.

Responsabilité et assurance
La responsabilité juridique liée à l’exploitation de toutes ces données devra aussi être clarifiée – quitte à envisager la révision de la directive européenne de 1985 sur la responsabilité du fait des produits défectueux (9) – pour prendre en compte les nouveaux écosystèmes tels que l’Internet des objets ou encore la voiture autonome, sans parler des implications au niveau des assurances. @

Charles de Laubier

Pourquoi le droit au déréférencement est une « forme » de droit à l’oubli

Alors que le règlement européen sur la protection des données personnelles est attendu pour janvier 2016, le droit à l’oubli numérique n’en finit pas de susciter la controverse. La solution du déréférencement apparaît comme une voie de compromis mais la question de son champ territorial reste posée.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le droit à l’effacement est inscrit dans la loi « Informatique et Libertés » depuis 1978. On le retrouve également dans la directive européenne de 1995 sur la protection des données à caractère personnel (1). En effet, toute personne a la faculté d’exiger l’effacement des données personnelles la concernant qui seraient
« inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation est interdite » (2)
ou « dont le traitement n’est pas conforme à la présente directive [de 1995], notamment en raison du caractère incomplet ou inexact des données ».

Droit à l’effacement bientôt élargi
Ce droit à l’effacement découle du principe selon lequel les données à caractère personnel doivent être traitées pour une finalité déterminée, légitime et transparente. C’est à ce titre que le responsable du traitement est tenu de les conserver « sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement » (3). Les données doivent ensuite être soit supprimées, soit « anonymisées ».

Cette notion d’effacement devrait s’élargir significativement avec la proposition de règlement européen (4) qui prévoit, dans sa dernière version, à l’article 17, que la personne concernée pourra également demander l’effacement lorsqu’elle aura retiré son consentement au traitement. Le projet européen indique que chaque personne disposera d’un contrôle renforcé de ses propres informations personnelles, pouvant ainsi décider quelles informations la concernant peuvent être communiquées à qui et
à quelles fins, lui offrant ainsi, comme le précise la Cnil (5), « la possibilité (…) de maîtriser ses traces numériques et sa vie – privée comme publique – en ligne » (6).
Ce “contrôle” recouvre également le droit d’être au courant du sort des données,
d’être informé de qui sait quoi sur soi et pour en faire quoi.
Faut-il y voir la consécration d’un droit à l’oubli numérique ? Ce sujet n’en finit pas
de susciter la controverse. Ses partisans font valoir que ce droit doit permettre à l’internaute d’« être oublié » afin que certaines données le concernant cessent de resurgir sur Internet. On peut comprendre qu’un individu ne souhaite plus que certains éléments de sa vie privée, publiés volontairement mais à un âge où l’on peut être inconscient des conséquences ou tout simplement dans un moment d’égarement, ou à son insu, puissent lui nuire, dans sa vie personnelle comme dans sa vie professionnelle (7). Les opposants au droit à l’oubli dénoncent quant à eux une invitation pour chacun
à réécrire son passé, à effacer les éléments gênants, à gommer les imperfections de
« son » histoire, sans tenir compte des autres intérêts en présence, notamment ceux
de la personne qui traite ou publie les données en cause, voire certains intérêts publics. Ils considèrent que le droit à l’oubli entre en conflit avec le droit à l’information et au traitement de données nécessaire à des fins statistiques, de recherche historique ou scientifique ou d’archive. Il peut heurter la liberté d’expression et la liberté de la presse. Il conduit également à déresponsabiliser l’internaute, lequel doit, selon eux, assumer pleinement les conséquences de ses actes, notamment la publication des informations le concernant.

Dans ce contexte, la solution du déréférencement ordonnée par la Cour de justice de l’Union européenne (CJUE) dans son arrêt du 13 mai 2014 (8) apparaît comme une voie de compromis, en quelque sorte une « forme » de droit à l’oubli. Il serait en effet inexact de parler de « droit à l’oubli » car la CJUE n’a pas ordonné à l’éditeur du journal espagnol en cause de supprimer l’information qui avait été publiée, mais elle a demandé à Google la désindexation du lien contenant l’information, considérant que l’internaute qui revendiquait l’effacement a droit « à ce que l’information (…) relative
à sa personne ne soit plus (…) liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom (…) » à certaines conditions.

L’arrêt de la CJUE : un compromis
Dans cette affaire très médiatisée, la CJUE, saisie de questions préjudicielles en interprétation par la juridiction espagnole, a procédé à un raisonnement en plusieurs étapes qu’il est intéressant de rappeler. Tout d’abord, la Cour a considéré que l’indexation et le stockage temporaire des données personnelles par un moteur de recherche afin de les mettre à disposition de ses utilisateurs, sous forme de listes de résultat, constituent un « traitement » de données personnelles au sens de la directive de 1995. Elle a ensuite retenu que Google est « responsable de traitement » dans la mesure où l’entreprise détermine les finalités et les moyens utilisés. Enfin, concernant le champ d’application géographique, les activités des filiales européennes de Google (dont Google Spain) sont indissociablement liées à la maison mère – de droit américain – étant donné que ces activités, relatives à la promotion et à la vente d’espaces publicitaires, contribuent à la rentabilité économique du moteur de recherche.

Les données ne sont pas effacées
Dans ces conditions, la Cour a admis qu’un particulier peut s’adresser directement à Google afin de demander la suppression des liens vers les pages de sites Internet tiers comportant des informations relatives à ces personnes. Cette décision suscite plusieurs observations. Tout d’abord, il faut constater que la mesure ordonnée n’exige pas d’effacer les données mais uniquement d’effacer le résultat affiché par le moteur de recherche de manière à ce que les informations relatives à un individu ne soient plus liées à son nom dans la liste des résultats du moteur de recherche. Dès lors, c’est simplement l’accès à l’information qui devient plus difficile mais l’information en elle-même est toujours disponible.
Par ailleurs, les juges invitent à apprécier, au cas par cas, si la demande de désindexation est légitime et justifiée. Ainsi, si l’information litigieuse, objet de la demande de déréférencement, présente un intérêt prépondérant pour le public, il ne faut pas faire droit à la demande de l’intéressé. Il en est de même si la conservation des données en cause s’impose à des fins historiques, statistiques ou scientifiques. Dès lors, on peut constater, à l’instar du député français Patrice Verchère (Les Républicains, ex-UMP), que : « Les responsabilités que la Cour fait peser sur Google sont capitales.
Il revient en effet au moteur de recherche d’examiner lui-même le bien-fondé de chaque demande, en recherchant l’équilibre entre droit à l’information du public et protection de la vie privée. Cette situation laisse transparaître un risque réel de substitution du juge par un acteur privé alors même que le respect de droits fondamentaux est en jeu » (9). Il s’ensuit inévitablement des risques de censure comme le démontre la suppression des articles publiés sur les sites web de The Guardian et de la BBC. Le premier concernait un arbitre qui aurait menti quant à la justification d’un pénalty. Le second visait un ancien patron qui aurait fait perdre à sa banque plusieurs milmilliards de dollars… Des articles pour lesquels on peut considérer que la question du droit du public à l’information se pose. Enfin, la question du champ territorial du déréférencement est ouverte, le moteur de recherche ayant décidé de supprimer uniquement les résultats de recherche qui apparaissent sur le site de l’Etat de la nationalité du requérant. Cette interprétation restrictive de l’arrêt de Strasbourg est vivement contestée, notamment par la Cnil qui considère que : « (Afin) d’assurer l’effectivité du droit au déréférencement tel que reconnu par la CJUE, le déréférencement devra être effectif dans toutes les extensions pertinentes, y compris .com. En effet, limiter le déréférencement aux extensions européennes des moteurs
de recherche en considérant que les utilisateurs effectuent généralement des requêtes à partir des extensions nationales du moteur ne garantit pas de manière satisfaisante
le droit des personnes tel que retenu par la CJUE » (10). Mais Google entend résister
à cette analyse et a déclaré le 30 juillet 2015 refuser de déférer à la mise en demeure qui lui a été délivrée par la Cnil en juin 2015 (11), lui contestant au demeurant toute compétence pour contrôler les informations mondialement accessibles. Google estime en effet que « aucun pays ne devrait avoir l’autorité de décider à quel contenu peut accéder quelqu’un, dans un autre pays ». La Cnil a indiqué, pour sa part, qu’elle regardera les arguments présentés par Google dans son recours gracieux et se réserve « la possibilité d’une phase répressive ». Afin de montrer sa bonne foi, Google n’a pas hésité à mettre en ligne un « rapport de transparence » dans lequel il recense les demandes de déréférencement « reçues et traitées » (12).

40.000 requêtes en France
Si l’on dresse le bilan (13) des opérations de déréférencement dans la suite de l’arrêt CJUE « Google Spain », Google aurait répondu favorablement à près de la moitié des 170.000 requêtes reçues – dont 40.000 pour la France. Par ailleurs, lorsqu’il répond négativement, le moteur de recherche précise que sa réponse serait motivée, dans
92 % des cas, par le fait que « l’information mise en ligne est en lien avec l’activité professionnelle de la personne ou qu’elle reste pertinente au regard de l’actualité ou
de la finalité du traitement ». Ainsi, la question centrale demeure : « Comment trouver
le juste équilibre entre le droit à l’oubli d’une personne et le droit à l’information du public ? ». C’est précisément la question posée au comité consultatif de Google qui tente d’y apporter des réponses dans un rapport remis le 6 février 2015 (14). @*

Christiane Féral-Schuhl, ancien bâtonnier du Barreau de Paris.
Elle est co-présidente de la Commission de réflexion sur le droit et les
libertés à l’âge du numérique, à l’Assemblée nationale.

Comment Google limite le droit à l’oubli en Europe

En fait. Le 6 février dernier, le conseil consultatif auprès de Google sur le droit
à l’oubli – où l’on retrouve parmi les huit experts Sylvie Kauffmann, directrice éditoriale du quotidien Le Monde, et Jimmy Wales, fondateur et président de Wikimedia Foundation – a publié son rapport sur le droit à l’oubli.

En clair. Le comité d’experts mis en place l’an dernier par Google (1) veut limiter les effets de l’arrêt du 13 mai 2014 de la Cour de justice de l’Union européenne (CJUE)
qui oblige les plateformes du Net – dont les moteurs de recherche – à déréférencer
les données personnelles des candidats à l’oubli. Dans leur rapport, les huit experts préconisent que Google supprime de son moteur de recherche uniquement les informations se situant sur ses sites européens – « google.fr », « google.de »,
« google.es », … – mais pas sur les autres tels que « google.com ». « La pratique générale en Europe est d’orienter les utilisateurs – tapant www.google.com sur leur navigateur – automatiquement vers une version locale du moteur de recherche. Google nous a dit que plus de 95 % de toutes les requêtes provenant d’Europe sont faites sur les versions locales », a expliqué le conseil consultatif.
Ce qui va à l’encontre des dispositions d’envergure mondiale prononcées par la CJUE
il y a neuf mois maintenant. Ces recommandations profitent des imprécisions de la directive européenne de 1995 sur « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (2) quant à la responsabilité de celui chargé du traitement d’assurer et du respect entourant les données à caractère personnel (article 6 de la directive). Le comité d’experts a en outre identifié quatre critères pour supprimer – ou pas – les données : vie publique du demandeur, nature de l’information, la source, le temps au sens de
la date.
Pour l’heure, la firme de Mountain View se plie partiellement aux injonctions de la CJUE en accédant à une partie seulement des demandes de suppression qui lui sont faites.
A fin 2014, plus de 170.000 demandes ont déjà été soumises à Google en Europe,
dont environ 30 % provenant de France – le premier pays en nombre. Mais le géant du Web oppose en effet une fin de non-recevoir à plus de la moitié d’entre elles. Ce qui lui a valu une première condamnation le 19 décembre dernier, par le tribunal de grande instance de Paris, à retirer les liens concernant une plaignante. C’est que les demandes affluent depuis que Google a mis en ligne son formulaire (3) pour permettre à ceux qui le souhaitent d’exercer leur droit à supprimer des résultats de recherche leur nom et autres données personnelles. @

Montée en puissance des projets « smart city » : la question de la protection des données reste posée

Les projets smart city dans le secteur des communications électroniques sont
de plus en plus nombreux et illustrent une tendance qui ne paraît pas prête de s’inverser : la coopération entre le secteur public et le secteur privé, et l’utilisation partagée des différents réseaux et données.

Par Michel Matas, avocat associé, et Katia Duhamel (photo), avocat of counsel, cabinet Bird & Bird

Inspiré par une littérature abondante, dont le dernier livre
de Jeremy Rifkins (1), lequel a conseillé de nombreuses collectivités territoriales, institutions et gouvernements (2),
le concept de « smart city » s’est aujourd’hui étendu et globalisé. Il vise, par l’interopérabilité des réseaux et des données rendue possible grâce aux nouvelles technologies, à rendre les villes plus utiles et plus efficaces.

 

Coopérations public-privé
Selon un rapport du think tank Institut de l’Entreprise, le potentiel en termes de marché des technologies est estimé à 15 milliards d’euros en 2020. Rien qu’à Paris, 36 %
des investissements internationaux en 2012 étaient concentrés sur le secteur des technologies de l’information et des télécommunications (3).
Au-delà des différences entre secteur public et secteur privé, il est une caractéristique invariante qui caractérise l’ensemble des projets smart city : une coopération systématique entre secteur public et secteur privé. Cette participation du secteur public est néanmoins plus ou moins marquée selon les projets. A son degré le plus élevé se situe la commande publique : il s’agit, pour une entité publique, d’utiliser ce levier afin de piloter elle-même un projet smart city. Si de très nombreux projets ont déjà vu le jour ou sont en préparation il paraît difficile de ne pas citer l’un des plus emblématiques : Vélib, lancé en 2007, dans le cadre d’un partenariat entre JCDecaux et la Ville de Paris et dont l’objet consiste à mettre à disposition des usagers environ 17.000 bicyclettes
sur plus de 1.200 stations réparties à Paris et dans la petite couronne, pour près de 100.000 trajets quotidiens. Son modèle économique est également remarquable : à l’instar de l’expérience lyonnaise sur laquelle Paris s’est appuyée, la municipalité a
en effet couplé l’attribution de l’affichage publicitaire urbain avec l’installation et l’exploitation de Vélib permettant non seulement à la ville de Paris de faire installer
et exploiter le réseau Vélib sans bourse délier, mais également de dégager des ressources issues de l’exploitation du mobilier urbain. Il est impossible de passer
en revue l’ensemble des projets liés à la commande publique dans la catégorie smart city, mais les projets peuvent aussi bien concerner le déploiement de réseaux de communications locaux, comme l’installation et l’exploitation de « data centers », l’éclairage public, la distribution d’eau, de gaz ou d’électricité, voire des projets liés à des services dans diverses villes (Bordeaux, Strasbourg, …), et permettant aux usagers disposer de services interactifs voire de souscrire et payer lesdits services au moyen de smartphone via la technologie sans contact NFC (Near Field Communication).

A un degré plus intermédiaire, le secteur public – sans être à l’initiative du projet lui-même mais grâce aux moyens mis à disposition des acteurs privés – permet l’émergence d’une série de projets smart city. Si traditionnellement la mise à disposition de moyens s’entend comme les aides ou subventions que la commune peut consentir, comme c’est par exemple le cas de divers incubateurs de start-up avec l’aide de partenaires privés, une partie essentielle de l’assistance fournie aux opérateurs privés consiste aujourd’hui dans la mise à disposition de données publiques dans le cadre de l’Open Data. Dans ce cadre, et au-delà des divers standards en vigueur en France tels que ODBL ou Etalab (4), la mise à disposition de dizaines de milliers de fichiers permet par exemple aujourd’hui d’extraire et d’utiliser les trajets de nombreux transports en commun, les horaires d’une multitude services, les quantités de plans et milliers d’autres données publiques (payantes ou non).

Multiples services, locaux ou nationaux
Cela permet au secteur privé d’offrir de multiples services, du plus local (les emplacements de stationnement libres à Nice) au plus national (les horaires des trains intégrés à des plateformes plus larges d’information).

A un degré plus faible, il est rare que les acteurs publics – même lorsqu’ils ne le sont pas directement – ne soient pas concernés en leur qualité de gestionnaire du domaine public, voire d’autorité délégante. En effet, l’interopérabilité des réseaux et des données aboutit à une collaboration croissante entre des acteurs privés dans laquelle la puissance publique aura son mot à dire in fine, lorsqu’elle n’est pas consultée en amont. Ainsi, par exemple, en sera-t-il dans le cas où un gestionnaire de mobilier urbain conclurait avec un opérateur mobile un accord visant à permettre à ce dernier de déployer sur son mobilier urbain des antennes WiFi de faible portée. Et ce, afin de permettre à l’opérateur mobile en question de sécuriser par redondances son réseau principal et d’améliorer le débit disponible dans une zone densément peuplée (5).

Données et anonymisation : risques
Dans la mesure où les projets smart city impliquent à la fois des acteurs publics et
le secteur privé, l’une des premières caractéristiques de ce type de projet est qu’ils associent en général le droit public au droit privé et que bien souvent – mêmes s’ils relèvent intégralement du droit privé lorsque seuls des acteurs privés sont concernés
– une connaissance approfondie des règles applicables aux contrats publics ou aux occupations du domaine public est nécessaire.
Au-delà de cet aspect « organique », la question de la protection des données constitue en général l’une des problématiques les plus fréquentes, que cela soit pour la protection des données publiques utilisées pour fournir le service basé sur l’Open Data, et pour la protection des données personnelles des utilisateurs du service. En effet, bien souvent la collecte des données des utilisateurs est faite aux fins d’amélioration du service (par exemple, pour déterminer les heures de pointe ou non, les embouteillages, les temps de trajet, etc). Dans d’autres cas, les utilisateurs peuvent avoir à rentrer eux-mêmes leurs informations ou leurs données afin de renseigner les autres utilisateurs ou le fournisseur du service concerné, à moins d’être amenés à enrichir le service en tant que tel.
Outre les limites physiques liées au stockage de ces données collectées, demeure l’obstacle de leur anonymisation. Suite à une consultation menée au début de l’année 2014 et intitulée « Open Data et données personnelles », la Commission nationale de l’Informatique et des Libertés (Cnil) révèle que près de 50 % des gestionnaires de données publiques ont indiqué avoir déjà fait part de leur opposition à l’ouverture de certaines données au motif d’un risque d’identification de personnes physiques (6). Ainsi, les solutions pratiques permettant l’anonymisation des données étant parfois sommaires, elles sont un enjeu important face au risque d’identification des données amplifié par les possibilités de croisement des informations.

La sécurité est également une problématique inhérente au développement de certains services tels que l’utilisation de la technologie NFC. La Cnil a déjà émis des réserves concernant la sécurité des paiements par cartes bancaires sans contact : l’accessibilité à certaines données bancaire et l’existence d’un « risque de piratage » sont préoccupantes. La Cnil préconise un « chiffrement des échanges » et une meilleure information des utilisateurs, ainsi que la possibilité pour ceux-ci d’activer ou désactiver le service (7). L’intégration de cette technologie à la téléphonie mobile crée de nouveaux défis en matière de sécurité des moyens de paiements.
Lors de l’expérimentation à Nice de la ville Cityzi, développant une multitude de services sans contact (achats, validation de titres de transports, accès à des informations contextuelles, etc), la Cnil a pu constater que les communications entre la puce NFC et les « valideurs » sont sécurisées par un chiffrement apportant une sécurité particulière lors des transactions effectuées via cette technologie. Elle veille à ce qu’il y ait une attribution d’un alias différent pour chaque fournisseur de services, de façon à ce que le recoupement d’informations sur les services utilisés ne puisse être effectué. En outre, dès lors que les réseaux et services fournis au public sont concernés, plusieurs réglementations viennent en général s’ajouter les unes aux autres. Ainsi, par exemple dans le cas de l’installation d’un réseau télécoms sur un autre réseau public (électrique, éclairage, mobilier urbain, …), il conviendra de concilier les obligations de continuité et les contraintes techniques et réglementaires de part et d’autre.

Complexité accrue et inéluctable
Aussi complexe soient-elle, l’utilisation mutualisée des données et des réseaux n’en
est aujourd’hui qu’à ses prémisses et il semble que les années à venir marqueront une nette accélération des projets smart city. Il paraît en effet inéluctable que l’ensemble des infrastructures, équipements et données publiques soient, à terme, interconnectés les uns aux autres, interactifs et utilisables par le plus grand nombre. @