Données de connexion : le Conseil d’Etat dit d’ajuster légèrement la loi française au droit européen

Données de connexion (comme l’adresse IP) ou données téléphoniques (comme le numéro), leur conservation est interdite. Mais il y a une exception obligeant les opérateurs et les hébergeurs à conserver ces données durant un an. Le Conseil d’Etat appelle le gouvernement à circonscrire cette rétention.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Décevante pour certains, équilibrée pour d’autres : la décision du 21 avril 2021 du Conseil d’Etat (1) – saisi en avril 2021 par les associations La Quadrature du Net, French Data Network et Igwan.net – a le mérite de procéder à une analyse précise du cadre règlementaire national relatif aux données de connexion, en opérant une distinction entre l’obligation de conservation et le droit d’accès à ces données. Pour se conformer à la jurisprudence européenne, des adaptations sont à prévoir – mais à la marge.

Rétention des données de connexion
Interdiction de principe. Les données de communication sont celles qui sont engendrées automatiquement par les communications effectuées via Internet (données de connexion) ou la téléphonie (données téléphoniques). Elles donnent des informations sur chaque message échangé (nom, prénom, numéro de téléphone pour les données téléphoniques, numéro IP pour les données de connexion). Egalement qualifiées de « métadonnées », elles représentent tout ce qui n’est pas le contenu lui-même de la communication, mais qui informe sur cette dernière (horodatage par exemple).
La conservation de ces données est interdite, en application de l’article L. 34-1 du code des postes et des communications électroniques qui impose leur effacement – voire l’anonymisation de « toute donnée relative au trafic » (2).
Cependant, il existe une exception à ce principe. L’article R10-13 du même code (3) impose aux opérateurs de communications électroniques, aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de conserver – pour une durée d’un an – toutes les données de trafic, de localisation et celles relatives à l’identité de leurs utilisateurs. Cette conservation se justifie pour les besoins d’une part, de la recherche, de la constatation et de la poursuite des infractions, notamment pénales, et, d’autre part, des missions de défense et de promotion des « intérêts fondamentaux de la nation » (indépendance, intégrité de son territoire, sécurité, forme républicaine de ses institutions, moyens de sa défense et de sa diplomatie, etc. (4)) confiées aux services de renseignement. Ainsi – et c’est bien ce que relève le Conseil d’Etat dans son arrêt du 21 avril 2021 –, il existe une obligation de conservation générale et indifférenciée des données de connexion. On retrouve dans la directive ePrivacy (5) (désormais abrogée) le principe et l’exception précités. En effet, le texte européen interdisait le stockage des communications et des données relatives au trafic (6), mais ouvrait la faculté pour les Etats membres d’adopter des mesures législatives visant à limiter la portée de cette interdiction (7).
Dans la continuité de plusieurs décisions antérieures, un arrêt du 8 avril 2014 de la Cour de Justice de l’Union européenne (CJUE) rappelle que la conservation des données de connexion constitue une ingérence profonde dans la vie privée des citoyens de l’UE (8). La Haute juridiction européenne exige en conséquence : de solides garanties, des textes clairs et une obligation circonscrite à la seule lutte contre les infractions graves. Elle a consolidé cette analyse le 2 mars 2021, en conditionnant les législations permettant l’accès des autorités publiques aux données de connexion « à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique » (9). Dans la suite de l’arrêt de la CJUE du 2 mars 2021, le Conseil d’Etat a pris position à son tour : il admet que la conservation généralisée et indifférenciée peut être justifiée dans un objectif de sécurité nationale. A ce titre, les risques d’attentats qui pèsent sur le pays, mais également les risques d’espionnage et d’ingérence étrangère, les risques d’attaques informatiques ou encore l’augmentation de l’activité de groupes radicaux et extrémistes constitueraient autant de menaces portant atteinte à la sécurité nationale. Il prévoit cependant que le gouvernement doit adapter la règlementation, dans les six mois, afin de prévoir un réexamen périodique de la menace, de manière à rectifier le dispositif.

Accès aux données de connexion
Mais cela ne modifie en rien l’obligation de conservation des données de connexion pour les opérateurs télécoms et fournisseurs d’accès et d’hébergement Internet, lesquels peuvent recevoir une demande d’accès de la part des services de renseignement. La lutte contre la criminalité légitime l’ingérence de l’Etat. Les services d’enquête doivent pouvoir accéder aux données de connexion afin de pouvoir remonter jusqu’à l’auteur de l’infraction. Cette modalité est parfaitement admise par la CJUE. Toutefois, si la finalité est légitime, la mise en œuvre interroge. Comment, en effet, circonscrire l’obligation de conservation des données de connexion à des infractions qui n’ont pas été commises, ou dont les auteurs n’ont pas encore été identifiés ? Une solution en fait impraticable. La finalité de la sécurité, même encadrée, conduit nécessairement à une conservation généralisée et indifférenciée des données par les opérateurs. En effet, elle soulève une difficulté opérationnelle. Obstacles techniques et ciblages Le Conseil d’Etat détaille lui-même l’ensemble des obstacles de nature technique et matérielle auxquelles font face les opérateurs, fournisseurs et hébergeurs. Ces derniers ne peuvent que difficilement effectuer un tri selon les personnes ou les zones géographiques. Il leur est également impossible d’identifier par avance une personne susceptible de commettre telle infraction, ou deviner un lieu où est susceptible de se dérouler telle autre.
Le Conseil d’État n’abroge pas pour autant la solution européenne (10). L’opportunité de la solution mise en avant par la CJUE – la conservation doit être ciblée sur certaines personnes soupçonnées ou des lieux spécifiques – n’est pas à proprement parler remise en question par le Conseil d’Etat. En revanche, il enjoint au Premier ministre de réviser les textes concernés (11) afin de circonscrire les finalités de l’obligation de conservation des données de trafic et de localisation à la seule sauvegarde de la sécurité nationale. Ce qui, selon le Conseil d’Etat, ne comprend pas les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes, ainsi que les adresses IP qui, à elles seules, ne permettent pas d’obtenir d’information pertinente sur la communication. Le Conseil d’Etat valide également la légalité des techniques mises en œuvre par les services de renseignement.
L’accès en temps différé (12), l’accès en temps réel aux données de connexion en matière terroriste (13), la géolocalisation en temps réel (14), ou encore les fameuses boîtes noires ou traitements algorithmiques – à savoir les « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste » (15) – sont autant de techniques mises à la disposition des services de renseignement. Introduites dans le code de la sécurité intérieure (16) à la suite des attentats de 2015, leur légalité, fortement contestée à plusieurs reprises, a été questionnée de nouveau, sans infléchir la position du Conseil d’Etat qui admet leur conformité au droit de l’Union européenne (UE). Cependant, le recours à ces techniques doit être contrôlé par une institution dotée d’un pouvoir contraignant. La Commission nationale de contrôle des techniques de renseignement (CNCTR), instituée en juillet 2015 (17), a bien été mise en place pour veiller au respect du principe de proportionnalité de l’atteinte à la vie privée qu’entraînent ces techniques (18). Cependant, comme elle formule seulement des avis simples ou des recommandations qui n’ont pas de force contraignante, le Conseil d’Etat – pour se conformer au droit de l’UE – a annulé les décrets (19) en ce qu’ils prévoient la mise en œuvre de ces techniques de renseignement (20) sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou d’une juridiction.
Au final, des changements marginaux sont à prévoir. Si le Conseil d’Etat admet que la règlementation française doit être adaptée pour se conformer à la jurisprudence européenne, on observe qu’il s’agit de changements à la marge : prévoir un réexamen périodique de la menace qui justifie la conservation des données de connexion, redéfinir les finalités des traitements et garantir un pouvoir contraignant aux avis formulés par la CNCTR. Le cadre législatif et règlementaire français apparaît ainsi dans les grandes lignes conforme aux exigences de la CJUE.

Conservation généralisée : arrêt belge contre
La Cour constitutionnelle belge, elle, n’a pas fait la même analyse. Saisie en janvier 2017 par l’Ordre des barreaux francophones et germanophone, ainsi que par trois associations sans but lucratif (21), elle a rendu le lendemain de la décision du Conseil d’Etat en France, soit le 22 avril 2021, un arrêt (22) où elle retient que le droit de l’UE, à la lumière de la jurisprudence de la CJUE, impose aux Etats de renoncer, pour l’essentiel, à « la conservation généralisée et indifférenciée des données » de connexion (données de trafic et des données de localisation, adresses IP, identité civile des utilisateurs de moyens de communications électroniques, …), annulant ainsi la loi belge du 29 mai 2016 « relative à la collecte et à la conservation des données dans le secteur des communications électroniques », sans attendre une nouvelle législation en la matière. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB) après
avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Souveraineté numérique : Microsoft se dit compatible

En fait. Le 19 mai, se sont tenues les 5e Assises de la souveraineté numérique, organisées par l’agence Aromates sur le thème cette année de « Quelle stratégie pour une 3e voie européenne ? ». Parmi les intervenants extra-européens : l’américain Microsoft, qui, par la voix de Marc Mossé, se dit euro compatible.

En clair. Le directeur des affaires publiques et juridique de Microsoft – fonction qu’il a exercée pour la filiale française entre février 2006 et mai 2016 avant de passer à l’échelon européen (1) tout en restant basé à Paris et non au siège de Microsoft Europe à Dublin en Irlande –, était attendu au tournant. Lors de ces 5e Assises de la souveraineté numérique, le «M» de GAFAM a voulu montrer pattes blanches et démontrer que l’on pouvait être une « entreprise étrangère américaine » et être compatible avec la « souveraineté numérique européenne ».
Antinomique ? Non. Marc Mossé, lui, parle de « ligne de crête » en rappelant les propos tenus par quatre femmes au pouvoir en Europe, Angela Merkel (chancelière d’Allemagne), Mette Frederiksen (Première ministre du Danemark), Sanna Marin (Première ministre de Finlande) et Kaja Kallas (Première ministre d’Estonie), dans une lettre adressée le 1er mars dernier à une cinquième femme de pouvoir, Ursula von der Leyen (présidente de la Commission européenne) : « La souveraineté numérique, c’est miser sur nos forces et réduire nos faiblesses stratégiques, et non pas exclure les autres ou adopter une approche protectionniste. Nous faisons partie d’un monde mondial avec des chaînes d’approvisionnement mondiales que nous voulons développer dans l’intérêt de tous. Nous sommes déterminés à ouvrir les marchés et à favoriser un commerce libre, équitable et fondé sur des règles » (2). Tout est dit.
Et le directeur juridique de Microsoft Europe d’approuver : « C’est cette ligne de crête sur laquelle il faut être, qui renvoie à l’essentiel lorsque l’on parle de la souveraineté. C’est aussi la question de la règle de droit. La souveraineté, c’est la garantie par le droit de fonctions essentielles comme les valeurs européennes [auxquelles] les acteurs qui opèrent en Europe (et donc en France) doivent le plein respect ».
Marc Mossé a aussi rappelé l’annonce faite le 6 mai par Microsoft qui s’engage à stocker et à traiter dans ses data centers en Europe – au nombre de treize dont trois en France – les données de ses clients, entreprises ou organismes publics, à ses services de cloud (Azure, Office 365 et Dynamics 365). Marc Mossé – par ailleurs président en France de l’AFJE (3) – assure que ce plan appelé « Frontière des données de l’UE » (4) est conforme à la « stratégie nationale pour le cloud » présentée le 17 mai par le gouvernement français. @

Finance numérique : l’Europe veut devenir une référence mondiale, jusque dans les cryptomonnaies

La Commission européenne a présenté le fin septembre son paquet législatif « Digital Finance Strategy » (DFS) qui englobe aussi les cryptomonnaies et les cryptoactifs. Objectifs : réguler les services financiers numériques et éviter la fragmentation du marché unique numérique.

« L’avenir de la finance est numérique » a lancé le 24 septembre Valdis Dombrovskis (photo), vice-président exécutif de la Commission européenne, en charge de l’économie aux services des personnes. « Un marché unique du financement numérique et innovant profitera aux citoyens européens et jouera un rôle clé dans la reprise économique de l’Europe, en offrant de meilleurs produits financiers aux consommateurs et en ouvrant de nouveaux canaux de financement aux entreprises ». En creux, grâce à l’intelligence artificielle (IA) et à la blockchain (chaîne de blocs), le capitalisme financier va se démocratiser.

Fintech européennes face aux GAFA et BATX
Pour l’ensemble des consommateurs européens, le paquet « Digital Finance Strategy » (DFS) vise à leur permettre de payer plus facilement dans les magasins ayant pignon sur rue (comme le paiement sans contact) ou lors de leurs achats en ligne (e-commerce/e-paiement), et en toute sécurité et de manière pratique. Mais le DFS concerne aussi le règlement des factures, le remboursement des prêts, y compris hypothécaires, le transfert d’argent, le paiement des salaires ou encore le versement des pensions de retraite.
Valdis Dombrovskis espère que la finance numérique aidera aussi à relancer l’économique de l’Union européenne (UE) et profitera en plus aux PME. La finance numérique étant par définition sans frontières, cela va permettre de renforcer l’Union économique et monétaire européenne et d’accompagner jusqu’à la fin de mandature en cours (2024) la transformation numérique de l’UE. Il s’agit aussi d’instaurer des conditions de concurrence équitables entre les prestataires de services financiers, « qu’il s’agisse de banques traditionnelles ou d’entreprises technologiques : même activité, mêmes risques, mêmes règles ». Cela devrait contribuer à l’émergence de solutions de paiement nationales et paneuropéennes, à l’heure où les géants du numérique – GAFA américains et BATX chinois – sont en passe d’être parties intégrantes de l’écosystème financier. Concernant spécifiquement la législation proposée sur les cryptoactifs, à savoir toute « représentation numérique de valeurs ou de droits pouvant être stockée et échangée par voie électronique », le projet de règlement sur les marchés de cryptoactifs – ce que la Commission européenne désigne par « Mica » (Regulation on Markets in Crypto Assets) – entend favoriser l’innovation dans un environnement financier stable et garantir une sécurité juridique aux émetteurs et fournisseurs de cryptoactifs. Parallèlement, la proposition de loi sur la résilience opérationnelle numérique – ce que la Commission européenne désigne cette fois par « Dora » (Digital Operational Resilience Act) – consiste à obtenir des acteurs de la finance numérique des garanties pour empêcher les cyberattaques et les autres risques tels que le blanchiment d’argent. La vigilance réglementaire s’étendra aussi aux prestataires de services de cloud, où sont stockées des masses de données financières de plus en plus stratégiques. Dans l’immédiat, un « bac à sable réglementaire » (sandbox) est mis en place au niveau européen pour tester des opérations de cryptoactifs utilisant la technologie des registres distribuées (blockchain), sous la bienveillance des régulateurs – notamment de l’Autorité bancaire européenne (ABE), basée à Paris. Ce « sas réglementaire » devrait permettre aux entreprises, qu’elles soient établissements bancaires et financiers classiques ou fintech, d’« éprouver les règles existantes ». L’Europe entend favoriser l’émergence de startup voire de licornes des technologies financières, des fintech européennes capables de rivaliser avec des Big Tech américaines ou chinoises.
Pour sa « Stratégie en matière de finance numérique pour l’UE » (DFS) telle que présentée le 24 septembre (1), la Commission européenne s’est fixé quatre priorités :
• La première priorité est de « s’attaquer à la fragmentation du marché unique numérique des services financiers, de manière à permettre aux consommateurs européens d’accéder à des services transfrontières et d’aider les entreprises financières européennes à accroître leurs opérations numériques ». C’est une simple question d’économie d’échelle : les entreprises qui atteignent une certaine taille pourraient, par exemple, être en mesure de fournir des services financiers numériques avec une meilleure qualité et à un prix inférieur pour les consommateurs.

Vers un « marché unique des données »
• La deuxième priorité
consiste à faire en sorte que le cadre réglementaire de l’UE facilite l’innovation numérique « dans l’intérêt des consommateurs et de l’efficacité du marché ». Cela concerne notamment les technologies des registres distribués (2) telles que la blockchain, les réseau peer-topeer (pair-à-pair) ou encore les algorithmes de consensus, ainsi que les technologies liées à l’IA. Et comme les cycles d’innovation sont plus rapides dans la finance numérique, la législation européenne sur les services financiers et les pratiques de surveillance devront être réexaminées régulièrement pour faire régulièrement des ajustements.
• La troisième priorité vise à créer « un espace européen des données financières pour promouvoir l’innovation fondée sur les données » et à ouvrir « le partage des données sur les comptes de paiement, dans le respect des règles de protection des données et de concurrence ». Sera ainsi encouragée la création de produits innovants pour les consommateurs et les entreprises, avec un l’objectif plus large de créer « un marché unique des données » tel qu’elle l’avait exposé en février dernier, dans le respect du RGPD (3).

Fintech, Regtech et Suptech
• La quatrième priorité porte sur les risques liés à la finance numérique dus notamment aux «écosystèmes fragmentés » et à des fournisseurs de services numériques interconnectés qui échappent partiellement à la réglementation et la surveillance financières. Pour garantir la stabilité financière, la protection des consommateurs, l’intégrité des marchés, la concurrence loyale et la sécurité, le principe de « même activité, mêmes risques, mêmes règles » sera appliqué, afin qu’il n’y ait pas deux poids deux mesures entre par exemple banques traditionnelles et fintech.
D’ici 2024, l’Union européenne devrait en outre mettre en place un cadre juridique facilitant « l’utilisation de solutions d’identification numérique interopérables qui permettront à de nouveaux clients d’accéder rapidement et facilement aux services financiers » ainsi que « la réutilisation des données des clients sous réserve du consentement éclairé de ces derniers ». Cela suppose que ce cadre juridique soit aussi fondé sur « des règles plus harmonisées en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme » et, après réexamen du règlement dit eIDAS (4) de 2014, sur « l’identification électronique et les services de confiance pour les transactions électroniques ». Aussi, la Commission européenne appelle l’ABE à élaborer d’ici au troisième trimestre 2021 des lignes directrices – « en étroite coordination avec les autres autorités européennes de surveillance ». Et pour mieux lutter contre le blanchiment de capitaux et le financement du terrorisme, un nouveau cadre sera proposé (5). Dans le domaine des paiements de détail, la pratique actuelle de refus des numéros de compte IBAN étrangers – « discrimination à l’IBAN » – sera examinée pour y remédier.
Pour répondre à une demande des fintech européennes qui veulent fournir des services financiers dans leur propre pays mais surtout dans d’autres pays européens que le leur, sans être confrontées à des cadres réglementaires différents d’un pays à l’autre, la Commission européenne a prévu d’établir d’ici 2024 un principe de « passeport » et d’« agrément » octroyé via « un guichet unique » pour les projets de finance numérique (6). Avec l’EFIF (7), un cadre procédural pour le lancement de l’expérimentation transfrontière sera mis en œuvre « d’ici la mi-2021 », y compris pour « d’autres mécanismes destinés à faciliter l’interaction entre les entreprises et les autorités de surveillance de différents Etats membres ». Toujours avec l’EFIF, une plateforme en ligne pour la finance numérique sera ouverte afin d’encourager la coopération entre les parties prenantes privées et publiques et de délivrer des agréments par voie électronique (8). Par ailleurs, pour aider les entreprises à respecter les dispositions réglementaires et les lignes directrices, sera encouragé le secteur de la « regtech » qui est présentée comme « un sous-ensemble de la fintech ». Quant aux outils « suptech », ils permettront l’analyse des données par les autorités.
Les banques centrales ne seront pas en reste, elles qui souhaitent développer des monnaies numériques comme mode de paiement alternatif aux espèces, à l’instar de la Banque centrale européenne (BCE) qui envisage d’émettre sa propre monnaie numérique (MNBC) et de la rendre accessible au grand public. La Commission européenne compte, toujours d’ici 2024, « faciliter les marchés de cryptoactifs et d’instruments financiers tokenisés » dans les Vingt-sept. Les jetons utilitaires (utility tokens) peuvent servir à accéder à des réseaux de chaînes de blocs décentralisés (blockchain) et les jetons de valeur stable (stablecoins) peuvent servir de base aux paiements de machine à machine dans les secteurs de la mobilité, de l’énergie et de l’industrie manufacturière. La directive sur les services de paiement (DSP2), qui a ouvert la voie à l’open finance (partage et utilisation par les banques et prestataires tiers de données clients – avec leur consentement – pour la création de nouveaux services), sera réexaminée en 2021. Plus largement, un texte législatif « finance ouverte » sera aussi proposé d’ici mi-2022. En particulier, il s’agira de « résoudre les problèmes actuels rencontrés par les prestataires de services de paiement lorsqu’ils tentent d’accéder aux antennes de communication NFC (9) utilisées pour des paiements sans contact efficaces ».

Futur « label » de paiement paneuropéen
C’est ce qu’aborde notamment l’autre communication de la Commission européenne, intitulée cette fois « Stratégie en matière de paiements de détail pour l’UE » (SPD), datée aussi du 24 septembre (10). Elle prévoit aussi la généralisation des paiements instantanés dans les Vingt-sept d’ici fin 2021. Il s’agit aussi de normaliser les codes QR de paiement. Et d’ici fin 2023, un label accompagné d’un logo reconnaissable permettra d’identifier les solutions de paiement paneuropéennes, tandis que l’utilisation de l’identité électronique (eID) conforme aux exigences « eIDAS-DSP2 » sera mise en place pour faciliter l’interopérabilité transfrontalière et nationale. @

Charles de Laubier

Ursula von der Leyen : « Nous investirons 20 % du budget de NextGenerationEU dans le numérique »

La présidente de la Commission européenne, Ursula von der Leyen, première femme à ce poste, a prononcé le 16 septembre son premier discours sur l’état de l’Union européenne (exercice annuel) devant les eurodéputés qui étaient cette année réunis à Bruxelles. Edition Multimédi@ revient sur ses ambitions numériques.

Sur le budget total de 672,5 milliards d’euros du plan de
« redressement d’urgence » baptisé NextGenerationEU – « pour aider à réparer les dommages économiques et sociaux immédiats causés par la pandémie du coronavirus, soutenir une reprise économique et construire un avenir meilleur pour la prochaine génération » –, une part non négligeable de 20 % va être consacrée au numérique. Cela représente une enveloppe conséquente de 134,5 milliards d’euros.
Disons-le tout net : c’est sans précédent depuis que la Commission européenne existe, depuis qu’elle s’est réunie pour la première fois en janvier 1958 sous la présidence de l’Allemand Walter Hallstein, soit huit mois avant la naissance de sa compatriote Ursula von der Leyen (photo), qui est à ce poste exécutif depuis une dizaine de mois maintenant. Cette manne sera distribuée aux Vingt-sept sous forme de prêts (53,5 %) ou de subventions (46,5 %). « Les Etats membres peuvent préparer des plans de redressement et de résilience qui définissent un ensemble cohérent de réformes et de projets d’investissement public à mettre en œuvre jusqu’en 2026, afin d’être soutenus », a précisé la Commission européenne. La date limite de soumission des plans de relance par les pays européens intéressés est fixée au 30 avril 2021.

La France devra faire plus en faveur du numérique
Ursula von der Leyen (UVDL) compte sur les eurodéputés pour qu’ils votent « le plus rapidement possible » sur sa proposition législative, afin que le plan NextGenerationEU soit opérationnel « dès le 1er janvier 2021 ». Mais sans attendre, la présidente de l’exécutif européen a dit qu’elle encourageait les Etats membres à présenter leurs avant-projets de plan à partir du 15 octobre 2020, quitte à les finaliser par la suite. Paris a déjà fait savoir qu’il notifiera à Bruxelles, sans doute en octobre, son plan « France Relance » à 100 milliards d’euros présenté début septembre, dont à peine 7 % consacrés au numérique (1), et espère de l’Union européenne 40 milliards d’euros d’aides. Or la Commission européenne attend de chaque plan national au moins 20 % dans le digital. En effet, dans son guide d’orientation à destination des Etats membres (2), la Commission européenne souhaite que « chaque plan de redressement et de résilience comprenne un niveau minimum de 20 % des dépenses liées au numérique » – que cela soit dans la 5G, la 6G – déjà ! –, la fibre optique, la cybersécurité, la blockchain, l’informatique quantique, mais aussi l’éducation au numérique et l’amélioration des services publics grâce aux nouveaux outils numériques.

Réagir vite face à la domination des GAFAM
UVDL estime qu’il est grand temps de réagir face à la domination des GAFAM et de faire des années 2020 « la décennie numérique » de l’Europe qui doit « montrer la voie à suivre dans le domaine du numérique, sinon elle sera contrainte de s’aligner sur d’autres acteurs qui fixeront ces normes pour nous ». Pour entraîner les Vingt-sept, la présidente de la Commission européenne a été très clair : « Nous investirons 20 % du budget de NextGenerationEU dans le numérique. Nous voulons ouvrir la voie, une voie européenne, de l’ère numérique : une voie qui repose sur nos valeurs, notre force, nos ambitions mondiales ». Pour UVDL, l’Europe numérique passe par « la connectivité, les compétences et les services publics numériques », mais aussi par « le droit au respect de la vie privée et à la connectivité, la liberté d’expression, la libre circulation des données et la cybersécurité ». Elle appelle en outre les gouvernements à se référer aux indicateurs de l’indice européen DESI (Digital Economy and Society Index), dont l’état à 2019 a été publié en juin dernier. Par exemple, la France – notée 52,2 et positionnée à la 15e pace du DESI (3) – se situe légèrement en-dessous de la moyenne européenne qui est de 52,6.
Lors de son discours du 16 septembre, UVDL a exprimé le souhait de voir l’Union européenne se « concentrer sur trois domaines » :
• Les données. « En ce qui concerne les données à caractère personnel – dans le commerce entre entreprises et consommateurs – l’Europe a été trop lente et dépend désormais des autres. Il ne faut pas que cela se répète avec les données industrielles », a-t-elle prévenu, déplorant au passage que « 80 % des données industrielles sont collectées mais ne sont jamais utilisées ; c’est du gaspillage ». Aussi, dans le cadre de NextGenerationEU, sera créé un cloud européen « fondé sur Gaia-X », le projet de « cloud de confiance » franco-allemand annoncé en juin dernier et susceptible de fournir ses premiers services en Europe à partir du premier semestre 2021. Mi-juillet, le commissaire européen en charge du Marché intérieur, Thierry Breton, a évoqué un investissement de l’Union européenne de 2 milliards d’euros pour ce qu’il a appelé un « Gaia-UE » (4). Objectif : à la fois mettre en place un projet de cloud commun de données industrielles et créer une fédération européenne des infrastructures et services de cloud. « Les premiers appels à manifestation d’intérêt pour le programme “Europe numérique” (5) pourraient être lancés d’ici la fin de cette année », nous indiquet- on dans l’entourage de Thierry Breton.
• La technologie. La Commission européenne prévoit de proposer dès 2021 « un instrument législatif » encadrant l’intelligence artificielle, les algorithmes et la maîtrise des données à caractère personnel. « Qu’il soit question d’agriculture de précision, de diagnostics médicaux plus fiables ou de conduite autonome sécurisée, l’intelligence artificielle nous ouvrira de nouveaux mondes. Mais ces mondes ont aussi besoin de règles. Nous, en Europe, nous voulons un socle de règles qui place l’humain au centre. Les algorithmes ne doivent pas être une boîte noire, et il faut des règles claires si quelque chose tourne mal », a prévenu UVDL. Notamment, en matière d’identité numérique (e-ID), l’exécutif européen proposera « une identité électronique européenne sécurisée ». Pour la numérisation des entreprises, des aides seront octroyées à l’accélération des décisions et à leur exécution par l’automatisation basée sur l’intelligence artificielle. Cela passe en particulier par le financement de centres d’innovation numérique – Digital Innovation Hub (DIH) – pour soutenir la numérisation de l’industrie et du secteur public, y compris la justice.
• Les infrastructures. « Le coup de fouet que NextGenerationEU va donner à l’investissement est une occasion unique de stimuler la croissance jusqu’au moindre village. C’est pourquoi nous voulons concentrer nos investissements sur la connectivité sécurisée et sur le déploiement de la 5G, de la 6G et de la fibre », a assuré UVDL. Elle trouve d’ailleurs « inacceptable que 40 % des habitants des zones rurales n’aient toujours pas accès à une connexion à haut débit rapide ». Surtout que le confinement généralisé du printemps dernier a enclenché la dynamique du télétravail, de l’éducation à domicile, des achats en ligne ou encore des téléconsultations. L’Europe doit « revitaliser les zones rurales ». Il s’agit là de combler le fossé numérique qui s’est creusé entre zones rurales et zones urbaines, mais aussi de « remédier aux défaillances du marché en ce qui concerne le déploiement de réseaux à très haute capacité ».

Souveraineté digitale et « made in Europe »
Pour Ursula von der Leyen, « ce qui est en jeu, c’est la souveraineté numérique de l’Europe, à petite et à grande échelle ». Ainsi, le « made in Europe » technologique « nouvelle génération » bénéficiera d’investissements non seulement dans les microprocesseurs (6) mais aussi, moyennant 8 milliards d’euros débloqués, dans les superordinateurs. Côté services, la Commission européenne va présenter d’ici la fin de l’année sa proposition législative Digital Services Act (DSA) dans le but de mieux dompter les GAFAM. @

Charles de Laubier

Open data des décisions judiciaires et administratives : des avancées mais encore des zones floues

Le 30 juin a été publié au J.O. le décret de mise à disposition du public des décisions judiciaires et administratives. Soit près de quatre ans après la loi « pour une République numérique » annonçant l’open data de ces décisions. Mais il faudra des arrêtés et des circulaires pour y voir plus clair.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

La loi « pour une République numérique » du 16 octobre 2016, en annonçant l’open data des décisions de justice (1), marquait une étape décisive dans le processus de l’accès au droit pour tous. Mais il aura fallu attendre la loi « de programmation 2018-2022 et de réforme pour la justice » du 23 mars 2019 pour rouvrir le dossier de l’open data des décisions judiciaires (2). Et encore une année de plus pour que le décret pour « la mise à la disposition du public des décisions des juridictions judiciaires et administratives » du 29 juin 2020 soit publié.

Occulter les données ou pas, c’est selon
Ce décret de mise à la disposition du public, sur Internet, des décisions judiciaires et administratives apporte quelques précisions complémentaires. Pour autant, dans sa formule « a minima », le dispositif prête à beaucoup d’interrogations et laisse de grandes zones d’ombres. En attendant les arrêtés et circulaires à suivre, un point d’étape s’impose. S’agissant tout d’abord de la responsabilité de la collecte et de la diffusion des décisions de justice sous format électronique, celle-ci est confiée respectivement à la Cour de cassation pour les décisions de l’ordre judiciaire, et au Conseil d’Etat pour les décisions de l’ordre administratif. C’est une bonne chose et cela est conforme au souhait exprimé par le Conseil national des barreaux (CNB) dans une déclaration signée avec la Cour de cassation en juin 2019 et avec le Conseil d’Etat en juin 2020. En effet, cette règle devrait mettre un terme à la délivrance « sauvage » des copies aux tiers qui a permis à certains de constituer un fonds documentaire, dans le cadre d’accords bilatéraux avec certains greffes.
Désormais, la délivrance des copies aux tiers ne pourra concerner que des décisions « précisément identifiées » (3). Pour les décisions de l’ordre judiciaire, le refus de délivrance ou le silence gardé pendant deux mois pourra donner lieu à un recours gracieux devant le président de la juridiction. Enfin, le greffier devra occulter les éléments permettant l’identification des personnes physiques de nature à porter atteinte à leur sécurité ou au respect de la vie privée des personnes ou celles de leur entourage, précision donnée que cette occultation sera automatique lorsqu’elle a été faite pour la mise à disposition du public. Le recours contre cette décision sera possible, par requête présentée par un avocat, devant le président de la juridiction auprès de laquelle le greffier exerce ses fonctions. Le président statuera par ordonnance, le demandeur et les personnes physiques, parties ou tiers, mentionnées dans la décision, si possible entendus ou appelés. En revanche, les questions relatives à l’exhaustivité et l’intégrité de la base de données demeurent entières alors que les résultats d’une recherche peuvent être différents selon la constitution de la base de données. Imaginons un instant que les décisions collectées soient toutes du Nord de la France sans tenir compte des jurisprudences d’autres régions.
S’agissant ensuite de l’occultation des données à caractère personnel, l’objectif consiste à trouver le juste équilibre entre le droit à l’information du public et le droit au respect de la vie privée des personnes concernées par les décisions de justice. La loi du 23 mars 2019 a prévu que les noms et prénoms des personnes physiques, parties ou tiers à l’affaire, seraient systématiquement anonymisés (4). Quant aux autres éléments identifiants, ils devront être occultés par le juge lorsque leur « divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage ». La décision d’occultation peut également porter sur tout élément de la décision dont la divulgation est susceptible de « porter atteinte aux intérêts fondamentaux de la Nation » (5).

Deux temps d’appréciation sont prévus
Pour la mise en œuvre de ce dispositif, le décret du 29 juin 2020 prévoit deux temps d’appréciation. Le premier temps se situe à la suite du prononcé du délibéré : le juge ou le président de la formation prend la décision d’occulter les informations indirectement identifiantes présentant l’un des deux risques précités (6). Le deuxième temps se situe après la publication en ligne de la décision : tout intéressé peut alors introduire, auprès d’un membre du Conseil d’Etat désigné par le vice-président du Conseil d’Etat (pour les décisions administratives) ou auprès d’un membre de la Cour de cassation désigné par le premier président (pour les décisions judiciaires), une demande d’occultation ou de levée d’occultation des éléments d’identification. Outre le fait qu’il en résulte une charge complémentaire pour les magistrats, ce mécanisme laisse au juge une marge très importante – trop ? – d’appréciation sur les informations dont la divulgation serait de nature à porter atteinte à la sécurité ou au respect de la vie privée des personnes citées dans la décision. Jusqu’à la publication sur Internet, les parties devraient pouvoir disposer d’une fenêtre de tir contrainte pour contester la décision d’occultation ou de non-occultation. Cependant, le décret ne précise rien à cet égard… Après la publication en ligne, le recours est le même pour tout intéressé, qu’il s’agisse d’une partie ou d’un tiers. La demande d’occultation ou de levée d’occultation des éléments d’identification est portée auprès du membre du Conseil d’Etat désigné par le vice-président du Conseil d’Etat ou auprès du membre de la Cour de cassation désigné par le premier président. Leur décision est elle-même susceptible de recours : pour les décisions de l’ordre administratif, il s’agit de « recours de plein contentieux » ; pour les décisions de l’ordre judiciaire d’un « recours devant le premier président de la Cour de cassation dans les deux mois suivant sa notification ».

Garanties et algorithmes : le CNB alerte
Malheureusement, le décret n’apporte aucune précision notamment au regard de mesures provisoires, par exemple la suspension de la publication dans l’attente que soit tranchée la question de l’occultation ou de la non-occultation. Or, nous savons que le temps de communication sur l’Internet n’est pas celui du temps judiciaire, posant là une simple question d’efficacité. Sera-t-il utile de requérir une occultation après que la décision aura été rendue publique et aura circulé sur les réseaux du Net ? Pour ces différentes raisons, le Conseil national des barreaux (CNB) a demandé des garanties en termes d’information des parties, de débat contradictoire et de droit de recours (7). Sur le premier point, le CNB demande que soient précisées les modalités d’information des parties quant à la décision prise concernant l’occultation, pour leur permettre d’initier, le cas échéant, un recours avant la mise en ligne de la décision ou avant la délivrance au tiers, afin de garantir réellement le respect du principe du contradictoire et de leur vie privée. Sur le deuxième point, il demande que les avocats puissent engager une discussion contradictoire sur l’occultation, dès leurs premières écritures et au plus tard, dans leur plaidoirie, pour permettre au juge de rendre une décision éclairée et au plus proche des enjeux du respect de la vie privée et de la sécurité des personnes. Enfin, troisième point, la notification aux parties de la décision d’occultation devrait être faite dans un temps raisonnable pour leur permettre d’initier, le cas échéant, un recours avant la mise en ligne de la décision.
Au-delà de ces garanties qu’il serait souhaitable d’apporter, le cadre juridique de l’open data des décisions judiciaires laisse encore de nombreuses questions sans réponse. L’encadrement du recours aux algorithmes n’est toujours pas d’actualité, ouvrant un large champ d’exploration aux acteurs privés qui s’y sont engouffrés. S’agissant de la justice et donc d’un service public « pas comme les autres », la régulation du marché des algorithmes est une priorité. Le CNB n’a de cesse de rappeler la nécessaire vigilance à avoir quant à l’utilisation qui sera faite des décisions de justice ainsi mises à disposition et la nécessité de garantir la transparence et l’éthique des algorithmes utilisés pour leur exploitation. Dans cet objectif, l’institution représentative des avocats formule une proposition de constitution ou de désignation d’une instance publique chargée de la régulation et du contrôle des algorithmes utilisés pour l’exploitation de la base de données des décisions de justice ainsi que de la réutilisation des informations qu’elle contient (8). Le CNB souhaite en être membre, aux côtés des plus hautes autorités de l’ordre judiciaire et de l’ordre administratif. Il préconise également que les appels d’offres à destination des acteurs privés incluent systématiquement le rappel de principes éthiques, à l’exemple de ceux proposés par le Conseil de l’Europe (9) via sa Commission européenne pour l’efficacité de la justice (CEPEJ), ou encore des sept principes posés par la Commission européenne pour une « IA de confiance » (10), mais aussi, pourquoi pas, de règles co-construites au sein de l’institution à créer ou à désigner. Les prérequis pour la conception des algorithmes pourraient s’inspirer des règles ethic by design ou legal by design.
La question de l’accès aux données intègres pour les avocats n’est pas non plus traitée. En effet, le décret du 29 juin 2020 est muet sur les autorisations d’accès au flux intègres. Les magistrats auront-ils accès aux décisions intègres – c’est-àdire non anonymisées et non occultées – ou auront-ils accès aux décisions anonymisées et occultées ? Dans le premier cas, l’accès différencié pour les magistrats et les avocats conduirait à une inégalité inacceptable. L’avocat, auxiliaire de justice (11), ne peut pas être assimilé au « public » visé par la loi du 29 mars 2019. A ce titre, l’institution représentative des avocats a tenu à rappeler, dans sa résolution du 14 décembre 2019, que « les avocats doivent, à l’instar des magistrats du siège comme du parquet, aussi auxiliaires de justice, avoir accès aux décisions intègres, sans anonymisation ni occultation des éléments indirectement identifiants, au nom de l’égalité des armes consacrée par l’article 6 de la Convention européenne des droits de l’homme ». La seule alternative acceptable serait que nous ayons, avocats et magistrats, accès à l’open data des décisions judiciaires, dans les mêmes conditions.

Groupe de travail « Réutilisation des données »
Le décret du 29 juin 2020 devrait être complété par d’autres textes (arrêtés, circulaires, …). La Chancellerie a annoncé la mise en place d’un groupe de travail dédié à la problématique de la réutilisation des données issues des décisions de justice. La première réunion sur ce thème, organisée par le ministère de la Justice, doit se tenir au cours cette rentrée. En espérant que le Conseil national des barreaux pourra apporter sa pierre à cet édifice qui modifie en profondeur la justice. @

* Christiane Féral-Schuhl, présidente du Conseil
national des barreaux (CNB), est ancien
bâtonnier du Barreau de Paris, et auteure de
« Cyberdroit », paru aux éditions Dalloz.