La publicité doit-elle être soumise au consentement quand elle est géolocalisée ?

Avec quatre mises en demeure publiées entre juin et novembre sur la géolocalisation publicitaire, la Commission nationale de l’informatique et des libertés (Cnil) « feuilletonne » sa doctrine en la matière. Or le RGPD européen n’exige pas toujours le consentement préalable des utilisateurs.

Etienne Drouard, avocat associé, et Lucile Rolinet, juriste, cabinet K&L Gates

La Cnil a d’abord publié deux mises en demeure à l’encontre des sociétés Fidzup et Teemo pour défaut de recueil du consentement à la collecte et au traitement de données de géolocalisation à des fins publicitaires. Dès le 3 octobre cependant,
elle mettait fin à la mise en demeure de la société Teemo (1) en décrivant précisément les mesures nouvelles prises par cette dernière pour se conformer à ses injonctions publiques (2). Sans discussion.

Réguler par les médias ou par le droit ?
Puis le 23 octobre, Singlespot (3) subissait à son tour la même mise au pilori de la part de la Cnil (4), et le 9 novembre 2018 (5), la société Vectaury était elle aussi épinglée (6) pour non recueil du consentement à la géolocalisation publicitaire. Jusqu’à présent, la Cnil publiait rarement ses mises en demeure – de quatre à quinze par an au cours des six dernières années – mais la série de publications qui s’est ouverte depuis l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) le 25 mai 2018 semble marquer une nouvelle méthode de régulation. Celle-ci repose davantage sur la vindicte médiatique que sur le débat contradictoire, pourtant essentiel à un procès équitable. Elle incarne le souhait de la Cnil de montrer l’exemple (et les dents), tout en laissant aux sociétés intimées la possibilité de se conformer dans le délai qui leur est imparti, sans encourir d’autre sanction que médiatique. Il faut dire qu’une simple mise en demeure suffit pour la Cnil obtienne tout ce qu’elle désire…,
tant le niveau des amendes que peut désormais prononcer la Cnil depuis la date d’entrée en application du RGPD est effrayant (jusqu’à 4 % du chiffre d’affaires mondial consolidé). Au risque d’ancrer une doctrine sans le moindre débat juridique et avec
des raisonnements discutables sur le fond. Discutons-en, donc.
• A chaque finalité son consentement ? La Cnil menace de sanctionner l’absence de consentement des personnes concernées au traitement de leurs données personnelles pour recevoir de la publicité ciblée sur leur téléphone mobile. Pour ce faire, elle se fonde sur un élément de doctrine non expliqué, qui pourrait se résumer à la formule très simple – et très fausse : « Une finalité, un consentement ». Selon cette doctrine, toute personne ayant consenti à la géolocalisation devrait par ailleurs avoir la possibilité de consentir – ou de ne pas consentir – séparément et pour chaque finalité distincte, à chacune des utilisations de sa géolocalisation : contractuelle, publicitaire, etc.
La définition du consentement stabilisée par la directive européenne « Protection des données personnelles » de 1995 (95/46) n’a pas été modifiée par les quatre années d’élaboration du RGPD. Le consentement se définit comme toute manifestation de volonté univoque, libre, explicite, informée et spécifique, par laquelle une personne concernée peut accepter par une déclaration ou un acte positif clair le traitement de ses données personnelles (7), notamment le premier d’entre eux : la collecte de données. Selon les récentes lignes directrices des régulateurs européens (8), le consentement est absolument discrétionnaire. Lorsqu’il est requis, il doit être spécifique à chaque finalité. Il ne peut être soumis à aucune condition, avantage ou détriment. Il est rétractable à l’envi ; il est d’une durée de validité limitée et il doit être renouvelé. Il est indépendant de l’accès à un service, quel que soit le modèle économique en jeu. Ainsi, lorsque le consentement est requis, le traitement d’une donnée est interdit tant qu’un consentement valable n’a pas été exprimé sur la base d’une information complète fournie aux personnes, dénuée de toute manipulation ou omission susceptible de les influencer dans leur libre choix.

Des cookies à la géolocalisation publicitaire
Le consentement est donc un régime d’interdiction a priori, qui déplace l’action de réguler sur les personnes. Ce véritable « droit au caprice », qui place la volonté libre
de l’individu au-dessus de toute autre considération, ne peut constituer le fondement d’aucun service (le consentement se distingue de l’adhésion à un contrat) ni d’aucun modèle économique. En effet, quelqu’un a-t-il déjà donné pareil consentement à l’usage publicitaire de la géolocalisation, sans contrepartie, à un tiers qui ne lui promet rien ? Créé en France en 1978 pour interdire le traitement des données sensibles relatives aux opinions politiques, philosophiques, religieuses ou syndicales, ce consentement-là, absolu et sanctifié, n’a jamais été « lâché seul » dans la sphère économique sans coexister avec des alternatives tout autant protectrices de l’individu (et malgré lui) et économiquement compatibles.
• Géolocalisation, consentement et information. Le consentement à la collecte de données de géolocalisation est exigé par la directive européenne « ePrivacy » (9) de 2002 (2002/58), transposée en droit français dans le code des postes et des télécommunications électroniques (10). Il est d’une nature similaire à l’exigence du consentement à la collecte des données sensibles (11) ou du consentement au dépôt ou à la lecture de « cookies » ou de traceurs en ligne (12).

Des raccourcis trompeurs et dangereux ?
La Cnil a mis en demeure les entreprises concernées au motif du défaut d’information préalable relatif à l’usage des données de géolocalisation à des fins publicitaires. Cette information est requise, quelle que soit la base légale sur laquelle repose la ou les finalité(s) de collecte ou d’utilisation des données. Elle peut, juridiquement, être concomitante à la collecte de la donnée de géolocalisation, mais elle doit en tout état
de cause être préalable à l’usage publicitaire d’une donnée de géolocalisation (13).
Le RGPD n’exige pas toujours le consentement ; il exige une base légale. C’est la faculté de collecter la donnée – de géolocalisation, ou sensible ou de l’identifiant d’un terminal – qui est soumise au consentement et non pas l’usage ultérieur qui sera fait
de cette donnée. Cet usage ultérieur peut être justifié par une nécessité technique, servicielle ou contractuelle, ou une faculté publicitaire ou une obligation légale. Cet usage ultérieur doit donc faire l’objet d’une information des personnes – dans tous les cas. Toutefois, chacun de ces usages postérieurs n’est pas forcément soumis au consentement des personnes. Tout dépendra de la base légale qui fonde chacun de ces usages ultérieurs. En effet, la règle posée par le RGPD n’est pas « une finalité =
un consentement », mais « une finalité = une base légale ». Or, le consentement n’est qu’une des six bases légales retenues par le RGPD et il n’a pas de rang prioritaire sur les autres. Tout dépend de la finalité d’utilisation concernée. La Cnil ne justifie pas en quoi l’utilisation publicitaire des données de géolocalisation collectées avec le consentement des personnes (14), serait-elle-même soumise à un consentement spécifique. En effet, lorsque la finalité d’utilisation d’une donnée est une géolocalisation servicielle, c’est-à-dire strictement nécessaire à la fourniture d’un service ou souscrit par la personne, le consentement discrétionnaire des personnes s’effacera au profit
de la nécessité pour l’entreprise d’exécuter un contrat d’adhésion souscrit par les personnes et qui implique l’utilisation « servicielle » – contractuelle – de la donnée de géolocalisation (15). Tel est le cas pour l’utilisateur d’une application de cartographie routière de type Waze, Plans, Mappy ou Google Maps. Lorsque la collecte des données de géolocalisation est nécessaire à la sauvegarde de la vie humaine (16), le consentement sera écarté et l’utilisation d’une donnée de géolocalisation par les services d’urgence (Police Secours, SAMU, Pompiers) leur permet d’obtenir des opérateurs télécoms la géolocalisation de l’appel d’une personne en détresse. Enfin, lorsque la géolocalisation est nécessaire à l’exécution d’une mission de service public, telle la collecte des points et horaires d’entrée et de sortie d’une section d’autoroute à péage, l’absence du recueil du consentement, matériellement impossible, n’empêchera pas les sociétés d’exploitation d’autoroute de recueillir les données de géolocalisation de leurs usagers.
Concernant la géolocalisation destinée à déclencher l’affichage publicitaire sur mobile, la base légale ne pourra être que l’intérêt légitime prévu par le RGPD et explicitement décrit à son considérant 47. D’ailleurs, quel utilisateur averti serait-il assez « original » pour désirer librement et sans la moindre incitation faire l’objet de publicités géociblées ? Si l’usage publicitaire d’une donnée n’est possible qu’à l’égard des personnes qui y consentent librement, cela signifie en droit et en pratique que l’usage publicitaire est interdit a priori par le RGPD. Or, c’est tout le contraire qui a été arbitré dans le RGPD, malgré la réticence à cet égard des régulateurs nationaux tels que la Cnil. En effet,
le RGPD requiert la démonstration d’un équilibre entre les garanties offertes aux personnes en contrepartie de l’intérêt commercial pour l’entreprise exploitant les données (17). La personne ayant téléchargé une application et ayant expressément consenti à la collecte de ses données de géolocalisation, doit être informée que ses données peuvent être utilisées à des fins de publicité et elle doit pouvoir… s’y opposer, dès lors que cette faculté d’opposition lui est offerte aisément et à tout moment.

Le RGPD n’est pas un texte « à la carte »
Il serait dangereux que le RGPD devienne un texte « à la carte » pour les régulateurs.
Il ne l’est pas pour les justiciables. Ne rompons pas la belle promesse de sécurité juridique et d’harmonisation européenne que l’Union européenne brandit à la face du monde avec le RGPD. Si nous ne tenions pas cette promesse, nous en serions, nous Européens, les principales victimes. @

Vers un droit fondamental de l’accès à l’Internet dans la Constitution de 1958 ?

Comme il existe une Charte de l’environnement adossée à la Constitution française depuis 2004, une « Charte du numérique » faisant de l’accès à Internet un droit-liberté serait historique après une décennie de débats. Le 11 juillet, le projet a été rejeté. Mais la réflexion continue.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Un groupe de parlementaires de tous horizons politiques a proposé d’adosser à la Constitution de 1958 une « Charte du numérique », comme il y a une Charte de l’environnement adoptée, elle, en 2004 (1). Cette charte du numérique – qui comprend sept articles (2) – vise à consolider les grands principes du numérique en garantissant des droits et libertés numériques qui pourront alors faire l’objet d’un contrôle de constitutionnalité.

Droit d’accès aux réseaux numériques
La Charte du numérique, telle que proposée le 21 juin dernier par le groupe de travail informel commun à l’Assemblée nationale et au Sénat en vue de
« réfléchir à l’inclusion des droits et libertés numériques dans la Constitution », prévoit notamment que « la loi garantit à toute personne un droit d’accès aux réseaux numériques libre, égal et sans discrimination »
et que les réseaux numériques « respectent le principe de neutralité qui implique un trafic libre et l’égalité de traitement ». Ces propositions font écho à la déclaration commune signée le 28 septembre 2015 (3) par le président de l’Assemblée nationale (Claude Bartolone) et la présidente de
la Chambre des députés italienne (Laura Boldrini). Ce texte franco-italien
« sur les droits et devoirs numériques du citoyen » (4) devait être adressé
au Parlement européen pour inviter les Etats de l’Union européenne à y adhérer. Si l’on peut regretter que la Charte du numérique ait été aussitôt rejetée par la commission des lois, le 27 juin 2018 à l’Assemblée nationale, lors de l’étude du projet de loi constitutionnelle au motif que ses conséquences et implications étaient trop hasardeuses, on note qu’elle pourrait être reprise sous forme d’amendements au projet de loi constitutionnelle (5). Le sujet est d’importance. Il suffit, pour s’en convaincre, de constater que l’accès à l’Internet n’est pas libre dans tous
les pays, certains Etats limitant l’accès au réseau des réseaux en utilisant diverses techniques : blocage d’adresses IP de noms de domaine, censure
de certains mots-clés sur les moteurs de recherche ou encore filtrage des sites web contenants ces mots-clés (6). Il suffit également de rappeler que
le Saoudien Raif Badawi a été cruellement sanctionné pour avoir voulu ouvrir un blog afin d’inviter à un débat sur l’influence religieuse dans le Royaume d’Arabie saoudite. Cette initiative a été sévèrement sanctionnée : une peine de prison de dix ans, 1.000 coups de fouet et une amende. Son avocat, Waleed Abu al-Khair a également été condamné, à quinze ans de prison, pour l’avoir défendu et avoir prôné la liberté d’expression. De même, le blogueur mauritanien Cheikh Ould Mohamed Ould Mkheitir a été condamné à mort pour un billet jugé blasphématoire (7). Sa peine de mort avait été confirmée par la cour d’appel de Nouadhibou, tout en requalifiant les faits en « mécréance », mais annulée par la Cour suprême (8) avant de
se voir transformée en une condamnation à deux ans, toujours pour les mêmes faits (9). Il aura été incarcéré durant quatre ans. Quant au chinois Liu Xiaobo, il a également été déclaré coupable d’« avoir participé à la rédaction de la Charte 08, manifeste politique qui défendait une réforme démocratique pacifique et demandait un plus grand respect des droits humains fondamentaux en Chine, ainsi que la fin du système de parti unique ». Il avait été condamné à onze ans de prison pour ce manifeste signé par 303 intellectuels qui a circulé sous forme de pétition sur Internet. Récipiendaire du prix Nobel de la Paix en 2010, il est décédé en juillet 2017 alors qu’il venait de bénéficier d’une mise en liberté conditionnelle à raison de son état de santé très dégradé. Certains, à l’instar de Vinton Cerf (10) – l’un des pères fondateurs de l’Internet – considère que l’Internet est une
« technologie (…) facilitateur de droits, pas un droit en lui-même ».

Un nouveau droit-liberté fondamental
C’est en ce sens également que s’exprime Michaël Bardin, docteur en droit public, lequel considère que si « les juges, par cette décision [Hadopi de 2009, ndlr (11)], confirment bien qu’il est nécessaire de reconnaître l’importance contemporaine du droit d’accès à internet (…), pour autant,
le droit d’accès à internet n’est ni “un droit de l’homme” ni un “droit fondamental” en lui-même ». Et d’ajouter : « Il n’est et n’existe que comme moyen de concrétisation de la liberté d’expression et de communication.
En définitive, le droit d’accès à internet vient prendre sa juste place dans les moyens déjà connus et protégés que sont la presse, la radio ou encore la télévision » (12). Tel n’est pas l’avis du Conseil d’Etat qui qualifie le droit d’accès à l’Internet de droit fondamental (13). En ce sens également, la professeure universitaire Laure Marino observe que le Conseil constitutionnel a élevé la liberté d’accès à Internet au rang de nouveau droit fondamental : « Pour ce faire, le Conseil constitutionnel utilise la méthode d’annexion qu’il affectionne. Il décide que la liberté de communication et d’expression “implique” désormais la liberté d’accès
à Internet. Comme dans un jeu de poupées russes, cela signifie qu’elle l’intègre et l’enveloppe ou, mieux encore, qu’elle l’annexe. On peut se réjouir de cette création d’un nouveau droit-liberté : le droit d’accès à Internet. L’accès à Internet devient ainsi, en lui-même, un droit-liberté, en empruntant par capillarité la nature de son tuteur, la liberté d’expression. Ainsi inventé par le Conseil, le droit d’être connecté à Internet est donc un droit constitutionnel dérivé de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 » (14).

La coupure de l’accès Internet
C’est également la position exprimée en 2015 par la commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique (ComNum) de l’Assemblée nationale dans son rapport (15). Elle observe que plusieurs décisions prises au plan européen militent en ce sens. Ainsi, à titre d’exemple, dès 2009, et en plein débat sur la loi « Hadopi » que devait adopter la France quelques semaines plus tard, le Parlement européen s’est symboliquement opposé, par une recommandation (16), à la riposte graduée et à l’hypothèse de la coupure de l’accès Internet. Dans le même esprit, la directive européenne 2009/140/CE du 25 novembre 2009, composante du troisième « Paquet télécom » (17), prévoit que « les mesures prises par les Etats membres concernant l’accès des utilisateurs finals aux services et applications, et leur utilisation, via les réseaux de communications électroniques respectent les libertés et droits fondamentaux des personnes physiques tels qu’ils sont garantis par la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et les principes généraux du droit communautaire ». Cette directive impose par conséquent le respect de la présomption d’innocence et la mise en place d’une procédure « préalable, équitable et impartiale » avant toute restriction de l’accès ; elle estime en conséquence que le droit d’accès à Internet comporte des enjeux qui dépassent largement ceux de l’accès à la presse, la radio ou la télévision (18). Plus encore, « l’accès à internet est indispensable non seulement à l’exercice du droit à la liberté d’expression, mais aussi à celui d’autres droits, dont le droit à l’éducation, le droit de s’associer librement avec d’autres et le droit de réunion, le droit de participer pleinement à la vie sociale, culturelle et politique et le droit au développement économique et social » (19). Comme l’indique le Conseil d’Etat dans son étude annuelle de 2014, la liberté d’entreprendre – qui découle de l’article 4 de la Déclaration des droits de l’homme et du citoyen – implique le droit pour les entreprises de développer des activités à caractère numérique. « La loi et la jurisprudence présentent aujourd’hui plusieurs garanties de ce que l’on pourrait qualifier de ‘’droit à une existence numérique’’ de l’entreprise, qui implique différents attributs : droit à un nom de domaine, droit à fournir des services sur Internet, droit d’utiliser certains instruments tels que la publicité, la cryptographie ou les contrats conclus par voie électronique ». Il va sans dire que la liberté d’entreprendre et le droit à une existence numérique impliquent également le droit d’accéder à Internet. On rappellera que la peine de suspension de l’accès à Internet n’a été prononcée qu’une seule fois par la justice française et jamais appliquée. Elle a été supprimée par le décret du 8 juillet 2013 (le rapport Robert de 2014 a émis une proposition de rétablissement de cette peine de suspension en la généralisant aux infractions qui mettent en péril un mineur).
Dans ce contexte, il convient d’acter que le droit fondamental d’accès à Internet doit être assuré dans ses fondements substantiels et pas seulement comme possibilité de connexion à la toile. L’accès comprend le libre choix des systèmes d’exploitation, des logiciels et des applications. La protection effective du droit d’accès exige des interventions publiques adéquates pour surmonter toute forme de fracture numérique – culturelle, infrastructurelle, économique – en ce qui concerne notamment l’accessibilité de la part des personnes handicapées.

A l’instar de la Charte de l’environnement
C’est donc dans cet objectif que le groupe parlementaire transpartisan a proposé d’adosser à la Constitution de 1958 la « Charte du numérique »,
à l’instar de la Charte de l’environnement adoptée en 2004. Les débats du
11 juillet 2018 à l’Assemblée nationale sur le projet de loi constitutionnelle
« pour une démocratie plus représentative, responsable et efficace » ont finalement abouti au rejet de cette charte.
Mais la réflexion, elle, va se poursuivre, d’autant que l’Internet Society (Isoc) soutient l’initiative française après avoir lancé une pétition « pour la consécration constitutionnelle des droits fondamentaux des utilisateurs du numérique ». @

* Ancien bâtonnier du Barreau de Paris,
et auteure de « Cyberdroit », dont la 7e édition
(2018-2019) est parue aux éditions Dalloz

Le tabou de la propriété des données personnelles, éléments de la personnalité et objets de commerce

Parler de la « propriété » des données personnelles est un quasi-blasphème
pour certains. Autant dans l’entreprise, ces dernières font partie du fonds de commerce, autant pour les individus, elles ne sont pas considérées comme tel. Les contrats suffisent-ils ou faut-il créer un droit spécifique ?

Par Winston Maxwell, avocat associé, et Maxime Cordier, stagiaire*, Hogan Lovells

Les entreprises traitent régulièrement les données comme un élément de patrimoine. L’exemple le plus connu est la liste des clients, élément du fonds de commerce (1). Cette liste peut être vendue dans le cadre d’une cession de fonds de commerce,
et si une entreprise concurrente
se l’approprie sans autorisation, le propriétaire du fonds de commerce peut demander réparation en justice. La liste de clients peut figurer au bilan comme une immobilisation incorporelle. Dans les fusions et acquisitions, la valeur des données peut représenter une partie importante du prix de cession. Alors, pourquoi donc autant de difficulté à parler de la « propriété » de données ?

Propriété pour un marché plus efficace ?
La propriété des données pose question sous l’angle de la personne qui les génère,
et sous l’angle de l’entreprise qui les collecte. En ce qui concerne l’individu, le Conseil d’Etat rejette l’idée qu’une personne puisse être propriétaire de ses données à caractère personnel (2). Celles-ci sont conçues comme un élément de la personnalité, et par là, incessibles. La reconnaissance d’un tel droit limiterait pour les pouvoirs publics la possibilité de protéger les individus. Le Conseil d’Etat propose la reconnaissance d’un droit à l’« autodétermination informationnelle », sur le modèle allemand. D’autres encore appellent à une gestion collective des données personnelles, pensées comme un « bien commun » (3). Certains soutiennent que l’individu devrait disposer d’un droit de propriété afin de créer un marché et corriger le déséquilibre entre les individus et certaines grandes plateformes Internet. L’avocat Alain Bensoussan propose de passer d’une logique du don à une logique de l’échange, nécessitant la reconnaissance par les pouvoirs publics d’un droit de propriété sur les données personnelles (4). Utiliser les données comme une monnaie d’échange est reconnu dans le projet de directive européenne de 2015 concernant certains aspects des contrats de fourniture de contenu numérique : « Dans l’économie numérique, les acteurs du marché ont souvent et de plus en plus tendance à considérer les informations concernant les particuliers comme ayant une valeur comparable à celle de l’argent. Il est fréquent que du contenu numérique soit fourni, non pas en échange d’un paiement, mais moyennant une contrepartie non pécuniaire, c’est-à-dire en accordant l’accès à des données à caractère personnel ou autres » (5). Les données à caractère personnel seraient à la fois un objet de commerce et un élément de la personnalité, protégé en tant que droit fondamental.
Les droits de propriété intellectuelle classiques ne reconnaissent pas les données brutes comme un objet de protection. La protection sui generis bénéficient aux bases
de données non « créatives » si elles ont fait l’objet d’un « investissement substantiel du point de vue qualitatif ou quantitatif » (6). Néanmoins, les données en elles-mêmes ne sont pas protégées. Beaucoup de bases de données issues d’objets connectés pourraient ne pas bénéficier la protection sui generis de la directive, soit qu’elles ne sont pas créatives, soient qu’elles ne pourraient bénéficier de la protection sui generis. Certains auteurs soutiennent que la création d’objets connectés avec des capteurs n’entrerait pas dans le calcul de « l’investissement substantiel » nécessaire pour la protection sui generis des bases de données (7). En tout état de cause, cette protection sui generis ne permet pas une protection entière de la base de données, puisque des extractions et réutilisations de parties non substantielles du contenu de la base de données peuvent être réalisées tant qu’elles ne causent pas de préjudice injustifié aux intérêts légitimes du fabricant de la base.

La protection du secret des affaires
La directive européenne de 2016 sur le secret des affaires (8) permet de protéger le détenteur de données personnelles contre l’acquisition, l’usage et la divulgation illicite de certains secrets. Cependant, son champ d’application se limite aux informations
qui « ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ». Pour certains auteurs (9), il n’est pas assuré que les données produites par les capteurs des objets connectés puissent être protégées. Les données ne seraient d’ailleurs protégées que contre certaines actions illégales. Les prérogatives issues de la protection par le « secret des affaires » ne peuvent être qualifiées de droit de propriété, mais ce droit consacre néanmoins une certaine protection, à l’instar de la protection accordée à une liste de clients d’une entreprise (10).

Créer un droit de propriété spécifique ?
Cependant, faut-il nécessairement un droit de propriété spécifique ? Certains ne le pensent pas, car le marché des données fonctionne très bien uniquement sur la base de contrats (11). Ils citent le cas des droits sportifs. Dans de nombreux pays, les événements sportifs ne bénéficient pas d’un droit de propriété intellectuelle. Et pourtant les droits de rediffusion se négocient à prix d’or ! La raison est liée à la possibilité technique de contrôler l’accès au stade. L’organisateur de l’événement sportif peut autoriser un seul diffuseur à accéder au stade pour filmer l’événement, créant ainsi une rareté qui se monnaie. Selon le centre de recherche de la Commission européenne, le Joint Research Centre (JRC), les données seraient comme un match de foot : pas de droit de propriété intellectuelle spécifique, mais une maîtrise technique de l’accès aux données qui permet une négociation efficace par voie contractuelle. « Je donne accès
à mes données à Alice, mais pas à Bob ». Si le marché s’organise efficacement autour de contrats – comme c’est le cas pour les événements sportifs – aucun besoin de créer un droit de propriété spécifique. Le règlement général sur la protection des données,
dit RGPD et applicable à partir du 25 mai 2018, reconnaît une série de droits pour l’individu, et impose une série d’obligations au responsable du traitement pour garantir le respect des droits de l’individu (lire encadré ci-dessous). Le RGPD n’utilise jamais
le terme « propriété » pour caractériser les droits de l’individu ou des droits du responsable du traitement. Et pourtant, selon le JRC, le RGPD reconnaît implicitement un droit de propriété pour le responsable de traitement (12). Il s’agit d’un droit de propriété implicite pour l’ensemble des droits résiduels liés aux données. @

Maxime Cordier est étudiant
« Data Protection Officer » (DPO), à l’université Paris II
Panthéon-Assas, et stagiaire au département
« droit et contrats des données » de Hogan Lovells.

ZOOM

D’après le RGPD, le propriétaire des données est le responsable du traitement
Le règlement général sur la protection des données (RGPD), applicable à partir du
25 mai 2018, répartit les droits sur les données personnelles entre deux acteurs : le responsable de traitement et la personne concernée. La personne concernée dispose du « pouvoir d’initiative » dans la création et la mise à disposition de droits sur ses données personnelles (13). Parmi ces droits, les plus significatifs sont le droit d’obtenir une information préalable, le droit d’accès ou le droit de rectification. Le responsable
de traitement est lui le « gardien des données » et dispose de tous les « droits » qui ne sont pas affectés à la personne concernée, ou qui ne sont pas limités par d’autres droits de la personne concernée. En reconnaissant que le responsable du traitement détient le droit de déterminer la finalité et les moyens de traitement, le RGPD confère un degré de sécurité juridique à son statut de « propriétaire » des données.
Propriétaire des droits résiduels , le responsable du traitement reste néanmoins fortement limité dans son exploitation des données. Les contraintes sont d’origine réglementaire : le RGPD, la directive « ePrivacy », le secret bancaire, le secret
médical, … D’autres textes réglementaires limiteront sa marge de manœuvre. Mais
les contraintes peuvent également être d’origine contractuelle, notamment en cas de partage de données entre plusieurs responsables du traitement, chacun lié par un contrat définissant précisément son rôle. Dans un consortium lié à l’Internet des objets, il pourra exister plusieurs responsables du traitement, chacun responsable pour l’exploitation des données en vue de la réalisation d’une finalité spécifique : recherche, amélioration du produit, sécurité, publicité…

Les quatre couches de la propriété des données
La « propriété » des données pour un responsable du traitement peut s’analyser en quatre couches : la première concerne le contrôle technique de l’accès aux données
(il s’agit de l’équivalent des clés du stade, si l’on prend l’exemple des droits sportifs) ;
la seconde a trait à l’existence ou non de droits de propriété intellectuelle pour les données en question (droit sui generis sur les bases de données, secret des affaires) ; la troisième couche porte sur les contraintes réglementaires qui pèsent sur
l ‘ exploitation des données par le responsable du traitement, dont la liberté en tant
que « propriétaire » des données sera réduite (les droits de l’individu au titre du RGPD seront parmi les plus grandes contraintes , mais d’autres pourraient exister, par exemple en droit de la concurrence, ou en application d’un texte spécifique tel que la directive « Services de paiement en matière bancaire », par exemple) ; la quatrième couche concerne les contraintes liées aux contrats auxquels le responsable du traitement est partie (dans le contexte de l’Internet des objets ces contrats seront nombreux, et délimiteront l’étendue des droits de chaque entreprise membre du consortium, identifiant pour chacun la finalité que l’entreprise pourra poursuivre,
et les mesures de protection que celle-ci mettra en place).
L’empilement de ces quatre couches permet de comprendre la « propriété » des données dans un projet spécifique, comme la création d’une ville intelligente, par exemple. Lorsque de nombreuses entreprises interviennent dans le projet, le contrôle physique des données (première couche) sera particulièrement controversé. Dans certains cas le contrôle physique pourra être confié à une entreprise commune qui gérera l’accès pour le compte de l’ensemble des membres du consortium. Dans ce cas, la gouvernance de l’entreprise commune sera déterminante. @

Uber : un service électronique d’intermédiation de transport, mais pas de la société de l’information

Le 20 décembre 2017, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt (1) important qui tranche une incertitude au niveau de la qualification juridique des services proposés par la nouvelle économie numérique. Uber est concerné au premier chef, mais il n’est pas le seul.

Fabrice Lorvo*, avocat associé, FTPA.

Rappelons ce truisme selon lequel la révolution numérique a profondément modifié le monde économique. Mais aussi le monde juridique. A quelle catégorie juridique existante rattacher ces nouveaux « services » ? On rappellera que la qualification juridique est le pain quotidien des juristes ; elle consiste à rattacher un acte ou un fait à une catégorie et lui appliquer la règle de droit afférant. Ce processus se décompose en deux phases : d’abord choisir les éléments caractéristiques du fait ou de l’acte, puis le rattacher à une catégorie existante et lui appliquer la règle de droit.

Service mixte d’Uber : de quel droit ?
Pour reprendre la belle métaphore de la commode (2) : il faut d’abord choisir l’étoffe que l’on souhaite ranger, pour déterminer, ensuite, le tiroir dans lequel elle sera rangée. Or, le numérique a dématérialisé l’étoffe ou lui a rajouté une étape, de sorte que l’on est confronté à des difficultés pour choisir le tiroir ! C’est Uber et son modèle économique qui, une fois de plus, posaient des interrogations. Après celles du droit de la concurrence, de la protection des consommateurs et du droit de travail, il s’est posé la question de savoir si le fonctionnement d’Uber relevait du droit de l’Union européenne (UE) ou des Etats membres. Les faits sont simples et la question s’est posée dans de nombreux pays européens.
En 2014, une association professionnelle de chauffeurs de taxi de la ville de Barcelone (Espagne) a assigné devant un tribunal espagnol Uber Systems Spain SL, société liée à Uber Technologies Inc., en prétendant que cette dernière fournit une activité de transport sans autorisation. On rappellera que le numéro un mondial des services de voitures de tourisme avec chauffeur (VTC) fournit, au moyen d’une application pour téléphone intelligent, un service rémunéré de mise en relation de chauffeurs non professionnels utilisant leur propre véhicule avec des personnes souhaitant effectuer des déplacements urbains. Le service proposé par Uber est mixte. Une partie est réalisée par voie électronique (la réservation, l’approche, le paiement), et l’autre est réalisée physiquement par une opération traditionnelle de transport (le trajet proprement dit). Dans tous les cas, ni Uber ni ses chauffeurs non professionnels des véhicules concernés ne disposent des licences et des agréments prévus par le droit espagnol. L’association professionnelle a considéré que les activités d’Uber constituaient des pratiques trompeuses et des actes de concurrence déloyale et a demandé au tribunal de commerce espagnol d’interdire à Uber d’exercer cette activité
à l’avenir. Le juge espagnol a considéré que la solution du litige dépendait du point de savoir si Uber devait, ou non, disposer d’une autorisation administrative préalable en Espagne.
A cette fin, il convenait de déterminer si les services fournis par cette société doivent être regardés comme étant des services de transport (compétence des Etats membres), ou des services propres à la société de l’information (droit de l’UE), ou une combinaison de ces deux types de services. Le juge espagnol a décidé de surseoir à statuer et de poser à la Cour de justice de l’Union européenne (CJUE) une question préjudicielle portant uniquement sur la qualification juridique du service en cause. La CJUE a relevé qu’un « service électronique d’intermédiation » – consistant à mettre en relation un chauffeur non professionnel utilisant son propre véhicule et une personne qui souhaite effectuer un déplacement urbain – constitue, en principe, un service distinct du service de transport qui consiste en l’acte physique de déplacement de personnes ou de biens d’un endroit à un autre au moyen d’un véhicule. De plus, chacun de ces services, pris isolément, est susceptible d’être rattaché à différentes directives ou dispositions du traité sur le fonctionnement de l’UE (TFUE) relatives à la libre prestation de services.

Intermédiation avec le monde physique
En effet, un service électronique d’intermédiation – qui permet la transmission au moyen d’une application pour téléphone intelligent des informations relatives à la réservation du service de transport entre le passager et le chauffeur non professionnel utilisant son propre véhicule qui effectuera le transport – répond, en principe, aux critères pour être qualifié de « service de la société de l’information » (3). Et ce, dès lors qu’il s’agit d’un « service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de services ». Dans ce cas, aucune autorisation ne doit être demandée à l’Etat membre. En revanche, un service de transport urbain non collectif, tel qu’un service de taxi (service physique), doit être qualifié de « service dans le domaine des transports » et relève de la compétence de l’Etat membre.

Uber a créé son propre marché
Dans ces conditions, faut-il faire une application distributive ou appliquer un seul régime si une prestation était considérée comme l’accessoire de l’autre. Dans ce dernier cas, quel serait le service qui prévaudrait, le service électronique ou le service physique ? D’après la CJUE, la prestation d’Uber ne se résume pas à un service électronique.
En effet, le fournisseur de ce service d’intermédiation crée en même temps « une offre de services de transport urbain, qu’il rend accessible notamment par des outils informatiques, tels que l’application en cause au principal, et dont il organise le fonctionnement général en faveur des personnes désireuses de recourir à cette offre aux fins d’un déplacement urbain ».
La CJUE considère que l’application d’Uber crée son propre marché car elle fournit
« une application sans laquelle, d’une part, ces chauffeurs ne seraient pas amenés à fournir des services de transport et, d’autre part, les personnes désireuses d’effectuer un déplacement urbain n’auraient pas recours aux services desdits chauffeurs ». C’est bien là la différence des services d’Uber avec d’autres services d’intermédiation qui vendent par exemple des billets d’avion ou des nuitées d’hôtel. Dans ce dernier cas, le marché est autonome. Sans ces applications, vous pourrez toujours acheter les mêmes prestations directement auprès de la compagnie d’aviation ou de l’hôtel. À l’inverse, sans application d’Uber, les services des chauffeurs non professionnels (c’est-à-dire sans licence) ne pourraient pas être sollicités ou seraient qualifiés de taxis clandestins. La plateforme d’Uber constitue donc le seul moyen de commercialiser leurs services.
La CJUE a été plus loin car elle a constaté d’autres particularités dans la prestation d’Uber qui ont permis de caractériser un lien indissociable entre le service électronique et le service de transport. En effet, Uber exerce « une influence décisive sur les conditions de la prestation de tels chauffeurs » car Uber établit, au moyen de son application, « à tout le moins le prix maximum de la course, que cette société collecte ce prix auprès du client avant d’en reverser une partie au chauffeur non professionnel du véhicule, et qu’elle exerce un certain contrôle sur la qualité des véhicules et de leurs chauffeurs ainsi que sur le comportement de ces derniers, pouvant entraîner, le cas échéant, leur exclusion ». La CJUE relève donc que l’application d’Uber est indissociablement liée à un service de transport. Il ne s’agit pas d’un simple service électronique, qui mettrait en relation une offre et une demande. La prestation est globale, Uber contrôlant ou ne pouvant que contrôler la plupart des maillons de la chaîne.
Comme l’a relevé l’avocat général (4), « Uber est un véritable organisateur et opérateur de services de transport urbain dans les villes dans lesquelles il est présent ». En conséquence, la CJUE juge que le service d’intermédiation d’Uber doit donc être considéré comme faisant partie intégrante d’un service global dont l’élément principal est un service de transport et, partant, comme répondant à la qualification non pas
de « service de la société de l’information », mais de « service dans le domaine des transports », or ce dernier service est exclu du principe de la liberté de prestation de services et relève de la compétence exclusive des Etats membres. La décision préjudicielle rendue par la CJUE devrait donc conduire les juridictions espagnoles à considérer qu’Uber et ses chauffeurs non professionnels exercent leurs activités en violation du droit espagnol qui soumet cette activité à une autorisation. Il est donc probable qu’Uber sera condamné pour pratiques trompeuses et actes de concurrence déloyale (5). Le dossier à l’origine de l’arrêt remonte à 2014. C’est maintenant à la justice espagnole de trancher en fonction de la décision préjudicielle de la CJUE. Cette affaire judiciaire est suivie de près par la France, mais aussi par la Grande-Bretagne, ainsi que par l’ensemble des pays européens confrontés au modèle économique d’Uber.
S’agit-il d’un coup de grâce juridique donné par un vieux monde qui refuserait les bouleversements de la société numérique ? Nous ne le pensons pas. L’analyse faite par l’avocat général est très riche d’enseignement.

Liberté de prestation de services
Pour pouvoir être qualifié de « service de la société de l’information », et bénéficier
de la liberté de prestation de services, il faut : que la prestation soit exclusivement composée d’un élément fourni par voie électronique ; que, dans le cas de services mixtes (composés d’un élément fourni par voie électronique et d’un autre qui n’est pas fourni par cette voie), l’élément fourni par voie électronique soit économiquement indépendant, ou principal, par rapport au second. L’utilisation du numérique dans une prestation ne doit pas être une caution pour dispenser les nouveaux acteurs des contraintes que pèsent sur ceux qui exercent la même activité sans le numérique. @

* Auteur du livre « Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.

La Commission européenne plaide pour le respect du droit international dans l’affaire «Microsoft Irlande»

Dans l’affaire du stockage des données en Irlande qui oppose Microsoft au gouvernement américain, la Commission européenne a déposé un mémoire devant la Cour suprême des Etats-Unis dans lequel elle plaide pour une application des principes de « territorialité » et de « courtoisie internationale ». Explications.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le contentieux qui oppose depuis 2014 la société Microsoft et
le gouvernement américain à propos des e-mails stockés en Irlande est maintenant devant la Cour suprême des Etats-Unis. Ce litige concerne la portée éventuellement extraterritoriale des réquisitions judiciaires américaines dans le cadre d’enquêtes pénales. La police américaine avait demandé à Microsoft de livrer une copie de certains e-mails échangés par une personne soupçonnée d’activités criminelles.

Règles de bon voisinage entre Etats
Les e-mails étant stockés en Irlande et sous le contrôle de la société Microsoft Irlande, la firme de Redmond (Etat de Washington) s’était opposée à la réquisition, en indiquant qu’il fallait passer par les procédures de coopération internationale en matière d’enquêtes pénales. La Cour d’appel de Manhattan avait donné raison en 2016 à Microsoft, en indiquant que la loi fédérale sur les réquisitions était silencieuse sur l’éventuelle portée extraterritoriale des réquisitions et qu’une telle portée ne pouvait
pas être déduite de manière implicite. Le gouvernement américain avait porté l’affaire devant la Cour suprême des Etats-Unis. C’est là qu’intervient la Commission européenne, qui, en décembre 2017, a déposé un mémoire (amicus brief) pour éclairer la Cour suprême sur certains aspects de droit international (1). La Commission européenne plaide pour une application du principe de la territorialité et du principe de courtoisie internationale. Ces principes revêtent une importance croissante dans toutes les affaires concernant la régulation des activités numériques, ces activités étant par nature transnationales.
Le droit international part du principe que chaque Etat doit respecter la souveraineté des autres Etats. Ce respect se manifeste par le respect des eaux territoriales et des frontières physiques entre Etats. La violation d’une frontière d’un autre Etat est une violation du droit international. Ce respect se manifeste également par une prise en considération des lois en vigueur dans les autres pays. Ces principes de « bon voisinage » entre Etats se traduisent par les deux concepts de droit international évoqués par la Commission européenne, à savoir : le principe de « territorialité » et
le principe de « courtoisie internationale ». Le principe de territorialité signifie que les lois d’un Etat s’appliquent à l’intérieur du territoire de l’Etat en question et non sur le territoire d’un pays tiers. Il existe des exceptions à ce principe, mais celles-ci sont extrêmement limitées (il s’agit de cas d’occupation militaire, par exemple, d’un territoire étranger). La courtoisie internationale signifie que lorsqu’une loi produit des effets dans un autre Etat, le premier Etat doit prendre en considération les lois de cet autre Etat afin de minimiser les conflits avec les lois de cet autre Etat.
Appliqués dans l’affaire Microsoft, ces principes impliqueraient, en premier lieu, que
la police américaine ne peut pas effectuer une perquisition sur le territoire de l’Irlande, puisque le pouvoir de la police et l’étendue territoriale de la loi américaine s’arrêtent
aux frontières des Etats-Unis. En second lieu, la courtoisie internationale commanderait que lorsqu’un juge américain ordonne à Microsoft d’extraire des données et de les communiquer à la police aux Etats-Unis, le juge doit se demander si cette action serait en violation des lois irlandaises applicables. Si c’est le cas, le juge doit chercher une voie qui éviterait un tel conflit. La Commission européenne indique qu’il existe des mécanismes d’entraide internationale en matière d’enquête policière et que le règlement général sur la protection des données à caractère personnel (RGPD) de 2016 (2) ne s’oppose pas à des réquisitions de ce type, à condition d’utiliser la convention internationale. La Commission européenne cite le considérant 110 du RGPD, qui prévoit que l’application extraterritoriale de réquisitions judiciaires peut constituer une violation du droit international et qu’une entreprise établie en Europe
doit donc appliquer les lois locales.

Territorialité et activités de renseignement
Le groupe « Article 29 » (G29), qui réunit les « Cnil » européennes, préconise également un respect strict des règles de droit international afin de ne pas créer des conflits avec des lois d’autres pays (3). Les pays signataires de la Convention du Conseil de l’Europe sur la cybercriminalité (4) tentent justement de trouver un terrain d’entente afin de faciliter l’échange de données au niveau international sans violer les principes de territorialité et de courtoisie internationale (voir encadré ci-dessous). L’affaire Microsoft concerne en outre les enquêtes pénales. Le droit international est également mis à l’épreuve par les activités de renseignement. Jusqu’à 2015, il n’existait pas en France de cadre légal pour la conduite des activités de renseignement à l’étranger.

Contenus illicites et fake news
La loi française sur les activités de renseignement de 2015 (5) a créé un cadre pour ces activités. Après censure du Conseil constitutionnel, la loi a été modifiée afin de donner plus de garanties aux individus ciblés par ces activités de surveillance extraterritoriales. Cependant, le niveau des garanties accordées par la loi française aux individus résidant à l’étranger est plus faible que les garanties accordées aux résidents et citoyens français. Deux poids, deux mesures : un résidant espagnol bénéficie de moins de garanties qu’un résidant français en matière de surveillance. Cette différence de traitement surprend, car ni la Charte européenne des droits fondamentaux (adoptée le 7 décembre 2000) ni la Convention européenne des droits de l’homme (signé le 4 novembre 1950) ne prévoient une quelconque différence de protection en fonction de la résidence ou de la nationalité de la personne.Les règles de droit international jouent un rôle important dans la lutte contre des contenus illicites sur Internet. Chaque pays a sa propre définition de contenus illicites, fixée en fonction du contexte culturel et historique du pays. Dans certains pays, des contenus blasphématoires sont interdits. Dans d’autres, il s’agit des contenus qualifiés de propagande homosexuelle. Les conflits entre lois nationales sont fréquents, comme en témoigne l’affaire Yahoo en 2000 concernant la vente d’objets nazis (6). La mise aux enchères d’objets nazis n’est pas interdite aux Etats- Unis et serait même protégée par la liberté d’expression. En revanche, ces mêmes contenus sont considérés en France comme outrepassant la liberté d’expression. Les plateformes Internet étant globales, il serait tentant pour un juge national d’ordonner le retrait pur et simple du contenu afin qu’il ne soit plus visible où que ce soit dans le monde. Cependant, une telle approche serait en contradiction avec les principes de droit international mis en avant par la Commission européenne dans l’affaire Microsoft. Cela ouvrirait la voie à une surenchère internationale où chaque pays essayerait d’appliquer ses propres normes en matière de contenus au monde entier, en contradiction totale avec les des règles de courtoisie internationale et de territorialité. Depuis l’affaire Yahoo, les juges nationaux font justement preuve de prudence lorsqu’ils ordonnent le blocage de contenus sur Internet, en limitant les effets de leurs décisions au territoire national. Le Tribunal de grande instance de Paris a reconnu que Yahoo, par un système de géo-blocage, pouvait tout simplement bloquer l’accès au contenu pour les utilisateurs situés en France, ce qui est une manière d’appliquer la loi française à l’intérieur du territoire national sans créer de conflit avec la loi américaine. Même si le pouvoir du juge s’arrête aux frontières nationales, les actions d’autorégulation, notamment par les plateformes, peuvent avoir une dimension transnationale. La Commission européenne, à l’origine de la création d’un groupe de haut niveau sur les fake news (High Level group on Fake News) qui tient sa réunion inaugurale en janvier 2018 (7), privilégie l’angle de l’autorégulation (self-regulation) et du partage des bonnes pratiques (shared good practices) pour le phénomène du fake news (8). Le Conseil d’Etat préconise, quant à lui, l’adoption d’une convention internationale relative aux libertés fondamentales et aux principes de gouvernance d’Internet, ainsi que la mise
en place de dispositifs fondés sur l’autorégulation des opérateurs, à travers la mise
en conformité (compliance) et leur responsabilisation (accountability) (9).

Atténuer les contraintes par l’autorégulation
Le respect du droit international impose des contraintes, et notamment l’utilisation de procédures de coopération internationale. Certaines de ces contraintes peuvent être atténuées grâce à des mécanismes efficaces d’autorégulation en matière de contenus illicites sur Internet. @

ZOOM

Convention de Budapest : vers une coopération internationale renforcée
La Convention de Budapest sur la Cybercriminalité a été ouverte à la signature
en 2001. Elle a été complétée en 2013 par un « Protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques » (https://lc.cx/gWWx). « Alors que prospèrent la cybercriminalité et les autres infractions entraînant des preuves électroniques sur des systèmes informatiques, et que ces preuves sont de plus en plus stockées sur des serveurs hébergés dans des juridictions étrangères, multiples, fluctuantes ou inconnues, autrement dit dans le cloud, les pouvoirs des services répressifs sont limités par les frontières territoriales », a souligné le Conseil de l’Europe le 2 novembre 2017 en vue de renforcer la coopération internationale sur la cybercriminalité et les preuves électroniques. Les Parties à la Convention de Budapest, à savoir 56 Etats auxquels
14 autres ont été invités à y adhérer, ont organisé de 2012 à 2014 un groupe de travail sur l’accès transfrontière aux données, puis de 2015 à 2017, un groupe sur les preuves dans le cloud. Il s’agit notamment de négocier d’ici à décembre 2019, un deuxième protocole additionnel à la Convention de Budapest sur une coopération internationale renforcée. @

L’Open data risque de se heurter aux droits de propriété intellectuelle des services publics

Le buffet des données publiques est ouvert, mais les administrations réfractaires à l’open data n’ont peut-être pas dit leur dernier mot avec le droit d’auteur. La loi « République numérique » pourrait leur avoir offert une nouvelle arme pour lutter contre la réutilisation de leurs données.

Marie-Hélène Tonnellier (avocat associée) & Corentin Pallot (avocat) – Latournerie Wolfrom Avocats

L’« économie de la donnée » est sur toutes les lèvres, et l’ouverture en grand des vannes des données générées par les services de l’Etat et des collectivités territoriales est présentée par beaucoup comme un sérieux levier de croissance. A voir les données déjà « offertes » au téléchargement par les administrations sur la plateforme publique Data.gouv.fr, l’on comprend aisément tout le potentiel pour les opérateurs économiques : base « Sirene » de l’ Institut national de la statistique et des études économiques (Insee) donnant accès au répertoire de 9 millions d’entreprises et 10 millions d’établissements actifs, mais aussi par ailleurs données de trafic des transporteurs publics, cartes maritimes, liste des fournisseurs des départements, dépenses d’assurance maladie par les caisses primaires et départementales, etc.

Accélération du mouvement open data
Mais l’open data entend dépasser la seule sphère économique et compte s’imposer comme un véritable outil démocratique en permettant à tous, et notamment aux journalistes et aux médias, d’accéder et d’exploiter les masses colossales de données générées par l’administration. Toujours sur la plateforme Data.gouv.fr, développée et animée par la mission Etalab (voir encadré page suivante), les statistiques relatives aux impôts locaux, aux infractions constatées par département ou encore les résultats de tous les établissements scolaires privés et publics français, représentent sans conteste une source exceptionnelle mise à la disposition des journalistes de données (data journalists) pour entrer dans l’intimité du fonctionnement de l’Etat. C’est la loi « pour une République numérique » du 7 octobre 2016 (1), portée par Axelle Lemaire (alors secrétaire d’Etat chargée du Numérique et de l’Innovation), qui a souvent été présentée comme la grande réforme de l’open data. Le chantier avait en réalité été déjà bien entamé dans les mois qui l’avaient précédée. Ainsi le législateur avait-il par exemple décidé d’aller au-delà des impératifs européens en matière de tarification des données, en consacrant purement et simplement le principe de la gratuité avec la loi « Valter » (2). Mais il faut néanmoins reconnaître à Axelle Lemaire une avancée législative notable pour l’open data, qui a d’ailleurs introduit la notion de « service public de la donnée » (3). Parmi ses mesures les plus emblématiques, l’ouverture des données
des services publics industriels et commerciaux apporte un élargissement considérable à la notion d’« information publique ». Alors que la réglementation autorisait jusqu’à cette réforme l’accès à ces données mais en interdisait la libre réutilisation (4), il est à présent possible d’exploiter ces immenses gisements informationnels.
Nous pourrions également citer d’autres nouveautés d’une aide indéniable pour le développement de l’open data, comme l’obligation faite aux administrations de publier en ligne certains documents et informations, tels que les « bases de données, mises à jour de façon régulière, qu’elles produisent ou qu’elles reçoivent et qui ne font pas l’objet d’une diffusion publique par ailleurs » ou encore « les données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental » (5). De même, la contrainte faite aux administrations qui souhaitent soumettre la réutilisation gratuite à des licences de choisir parmi une liste fixée par décret permettra nécessairement une plus grande facilité de réutilisation (6), même
si les administrations conservent néanmoins la possibilité d’élaborer leurs propres licences, à condition néanmoins de les faire homologuer par l’Etat.
Mais qui trop embrasse mal étreint. Et à vouloir border textuellement tous les aspects de l’open data, la loi « République numérique » pourrait avoir offert aux administrations une nouvelle arme pour lutter contre la réutilisation de leurs données, grâce à leurs droits de propriété intellectuelle.

Opposition à la libre-circulation des data
Il existait depuis longtemps un débat sur la faculté pour les administrations d’opposer
à la libre réutilisation de leurs informations publiques leurs droits de propriété intellectuelles sur les documents dans lesquels ces précieuses données figuraient (bases de données, logiciels, etc.). Certes, la Commission d’accès aux documents administratifs ( CADA ) , a u torité administrative chargée de veiller à la liberté d’accès aux documents administratifs, avait eu l’occasion de répondre par la négative à cette question (7).

Propriété intellectuelle et droit d’auteur
Mais la doctrine d’une administration ne suffit pas à faire le droit et la cour administrative d’appel de Bordeaux, en 2015, avait justement jugé le contraire, en considérant que le conseil général du département de la Vienne pouvait opposer son droit sui generis de producteur de bases de données pour s’opposer à la réutilisation des archives publiques de la collectivité (8). Le Code de la propriété intellectuelle permet notamment d’interdire l’« extraction, par transfert permanent ou temporaire de
la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit [et la] réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme » (9). Saisi de la question, le Conseil d’Etat a rejeté l’argumentaire des magistrats bordelais par un arrêt du 8 février 2017 (10). En interdisant à l’administration d’opposer un quelconque droit de propriété intellectuelle, le Conseil d’Etat apportait ainsi sa pierre à l’édifice de l’open data. Sauf qu’entre-temps le législateur avait à tout prix souhaité légiférer sur le sujet.
Visiblement inquiets, si l’on en croit les discussions parlementaires, de l’arrêt de la
cour administrative de Bordeaux précité, les rédacteurs de la loi ont cru devoir écarter expressément la faculté pour l’administration d’opposer ses droits sui generis de producteur de base de données. Mais l’enfer est pavé de bonnes intentions et, apparemment obnubilés par cet arrêt d’appel, les rédacteurs se sont alors contentés d’interdire aux administrations d’opposer ce droit sui generis sans faire mention des autres droits de la propriété intellectuelle – notamment le droit d’auteur. Les administrations host i les à l’open data ne manqueront probablement pas d’exploiter cette maladresse pour opposer leurs autres droits de propriété intellectuelle. Tout
aussi contraire à l’esprit d’ouverture de la loi , celle-ci cantonne ce t te interdiction d’opposer le droit sui generis de producteur de bases de données à la réutilisation
des seuls contenus de « bases de données que ces administrations ont obligation de publier ». A savoir : les « bases de données, mises à jour de façon régulière, [que les administrations] produisent ou qu’elles reçoivent et qui ne font pas l’objet d’une diffusion publique par ailleurs » (11). Cette disposition ouvre encore ici la voie à une interprétation a contrario des administrations réticentes, puisque seules certaines bases de données doivent impérativement être publiées.
La CADA a eu beau s’émouvoir de ce dangereux excès de précision, la loi a été votée et promulguée en l’état (12). Il existe donc à ce jour une marge d’interprétation et, partant, une source d’inconnu quant à la faculté pour l’administration de s’opposer à la libre réutilisation de données lorsque celles-ci sont contenues dans des documents sur lesquels elle détient des droits de propriété intellectuelle : soit parce qu’elle invoque des droits de propriété intellectuelle autres que ceux du producteur de bases de données, soit parce qu’il s’agit de bases de données dont la publication n’est pas obligatoire.

Des administrations peu enclines à partager
On sait que certaines administrations n’ont pas été particulièrement enchantées par
le mouvement l’ouverture des données publiques, pour diverses raisons : nécessaire surcharge d’activité induite par le travail de mise à disposition, refus de partager leurs précieuses données jalousement conservées depuis des décennies (ou pense notamment aux services publics industriels et commerciaux), manque à gagner puisque certaines administrations monétisaient – parfois fort cher ! – leurs données. Ces administrations ne manqueront certainement pas de s’engouffrer dans la brèche.
La grande razzia sur les données publiques que l’on nous avait annoncée se révèlera peut-être moins facile qu’on nous l’avait promise. @

ZOOM

Google, Microsoft, Orange ou encore Salesforce, partenaires d’Etalab
En France, la politique d’ouverture en ligne des données publiques (Open data) est pilotée par la mission Etalab, placée sous l’autorité du Premier ministre depuis février 2011 et, depuis octobre 2012, rattachée directement au Secrétaire général pour la modernisation de l’action publique. Etalab gère le portail unique interministériel Data.gouv.fr, lequel met « à disposition librement l’ensemble des informations publiques de l’Etat, de ses établissements publics et, si elles le souhaitent, des collectivités territoriales et des personnes de droit public ou de droit privé chargées d’une mission de service public ». Etalab rassemble en outre des acteurs de l’innovation en France au sein d’une communauté appelée Dataconnexions, dans laquelle l’on retrouve Google, Microsoft, Orange ou encore Salesforce parmi les partenaires. C’est dans ce cadre que sont organisés des concours pour encourager l’usage des données publiques et récompenser les projets les plus innovants. Six éditions ont déjà eu lieu. @

Charles de Laubier

Le père fondateur du Web décide de donner un coup de pouce aux DRM sur Internet : controverse

Alors que le 9 juillet fut la journée internationale contre les DRM, le World Wild Web Consortium (W3C) – présidé par Tim Berners-Lee, principal inventeur du Web – a approuvé le 6 juillet la controversée spécification EME (Encrypted Media Extensions) facilitant la mise en ligne de contenus protégés.

« Par rapport aux méthodes précédentes de visualisation de vidéo chiffrée sur le Web [comprenez des vidéos de films, de clips vidéo ou de séries cryptées pour n’être lues que par l’acquéreur, ndlr], EME a l’avantage que toutes les interactions se produisent au sein du navigateur web et il déplace ces interactions des plugins vers le navigateur. De cette façon, EME apporte une meilleure expérience utilisateur, offrant une plus grande interopérabilité, confidentialité, sécurité et accessibilité pour la visualisation de vidéos chiffrées sur le Web », a expliqué Tim Berners Lee (photo) pour justifier l’approbation le 6 juillet (1) de la spécification Encrypted Media Extensions (EME) par le World Wild Web Consortium (W3C) qu’il dirige.

DRM : Digital Restrictions Management
Ce standard est destiné à faciliter l’usage par les ayants droits de DRM, ces systèmes de gestion numériques des droits d’œuvres audiovisuelles. Comme le suggère son nom, EME est une spécification technique qui prolonge le standard HTML5 en fournissant des API (Application Programming Interface) pour mieux contrôler la lecture – à partir d’un navigateur web – de contenus cryptés. Il s’agit donc de faciliter a priori
la vie de l’internaute face aux nombreux contenus protégés ou restreints en utilisation, conformément aux exigences des industries culturelles et de leurs ayants droits. EME fait office de passerelle entre les navigateurs web et les logiciels de DRM (Digital Rights Management), lesquels ne font pas l’unanimité – certains préférant les appeler d’ailleurs des « Digital Restrictions Management ». L’avantage de EME est, selon le W3C, de permettre l’utilisation de vidéos sous HTML5 pour les visualiser avec leur DRM embarqué comme pour des services de streaming vidéo, mais sans avoir besoin de recourir à des plugins tiers tels que Flash d’Adobe ou Silverlight de Microsoft. Cette nouvelle spécification est basée sur le HTML5, lequel permet le développement d’applications sur le Web fixe et mobile, et permet d’avoir du streaming adapté en utilisant des standards tels que Mpeg-Dash (Dynamic Adaptive Streaming over http)
(2) ou Mpeg Common Encryption (Mpeg-Cenc). Dès avril 2013, Netflix fut la première entreprise à offrir des vidéos en mode EME sur des ordinateurs Chromebook de Samsung (fonctionnant sous le système d’exploitation Chrome OS développé par Google). Sans attendre l’adoption du W3C, les navigateurs Chrome (Google), Internet Explorer (Microsoft), Safari (Apple), Firefox (Mozilla Foundation) et Edge (Microsoft) l’ont adopté à partir de 2016. La controverse vient du fait que EME contient des éléments propriétaires, par définition fermés, au coeur de ce qui devrait être au contraire un écosystème entièrement ouvert et basé sur des logiciels libres. Il est reproché à cette extension d’instaurer des barrières au niveau des navigateurs web censés être open source, d’être un frein à l’interopérabilité, de poser des problèmes au regard de la vie privée, ou encore d’exposer l’internaute à des ennuis judiciaires avec les ayants droits.
Aux Etats-Unis, la controverse des derniers mois fait place à la polémique. La Free Software Foundation (FSF), qui mène campagne contre les restrictions des DRM en tout genre via sa campagne militante « Defective by Design », s’en ait pris à la décision de Tim Berners-Lee approuvant EME. « Nous sommes opposés à EME depuis le début [il y a trois ans, ndlr] parce qu’il empiète sur le contrôle des internautes de leurs propres ordinateurs et affaiblit leur sécurité et leur vie privée. Un représentant de l’ONU [Frank La Rue, directeur général adjoint à la communication et à l’information de l’Unesco, ndlr], un groupe de défenseurs des droits de l’homme [Just Net Coalition, dont sont membres pour la France Eurolinc, Open-root, Louis Pouzin, Planète informatique et libertés, ndlr], une pléthore de chercheurs reconnus en sécurité ainsi que des experts en Internet, ont contesté l’approbation de EME », a déclaré la FSF. De plus, la fondation pour le logiciel libre pointe le fait que EME est soutenu par Netflix, Google, Microsoft ou encore Apple, ainsi que par la puissante Motion Picture Association of America (MPAA), tous apportant leur contribution financière au W3C.

Recours contre la décision « EME »
Les opposants à EME avaient jusqu’au 21 juillet pour faire appel – devant le comité consultatif du W3C – de la « décision désastreuse » de Tim Berners-Lee qui fut plus inspiré par le passé pour défendre la neutralité du Net et un Web ouvert (3) (*) (**) (***). Si au moins 5 % des 475 membres signent le recours dans ce délai de deux semaines,
cela déclencherait un nouveau vote pour ratifier ou rejeter EME. Pour la FSF, le W3C n’a pas à aider Hollywood dans l’utilisation de DRM pour verrouiller les contenus. @

Charles de Laubier