Tout en justifiant son soutien à la directive « Copyright », Qwant prépare une grosse levée de fonds et vise la Bourse

Slogan de Qwant : « Le moteur de recherche qui respecte votre vie privée » – … « et le droit d’auteur », rajouteraiton depuis que son PDG Eric Léandri soutient la directive « Droit d’auteur » – adoptée le 26 mars. Mais il se dit opposé au filtrage du Net. Côté finances, le moteur de recherche veut lever 100 millions d’euros et vise la Bourse.

Qwant, société franco-allemande dont le capital est détenu majoritairement par son PDG fondateur Eric Léandri (photo), à 20 % par la CDC et à 18,4 % par le groupe de médias allemand Axel Springer (1), cherche d’abord à lever 30 millions d’euros de cash dans les deux mois. Objectif : accélérer le développement de ses plateformes. « Nous sollicitons des investisseurs, tandis que nos actionnaires CDC et Axel Springer nous suivent. Ensuite, nous irons vers une vraie belle augmentation de capital d’ici la fin de l’année ou début 2020, avec une levée de fonds à 100 millions d’euros », indique Eric Léandri à Edition Multimédi@. Avec une introduction en Bourse à cette occasion ? « Allez savoir… Rien n’est fermé ! Pour cela, vous avez des obligations d’être propre au niveau comptable », nous a-t-il confié. Concernant le financement de 25 millions d’euros consenti par la Banque européenne d’investissement (BEI) en octobre 2015, le solde a finalement été entièrement versé en 2018. Le renforcement financier de Qwant prend du temps, l’explication de son soutien à la directive européenne « Droit d’auteur dans le marché unique numérique » aussi ! Eric Léandri ne cesse de devoir justifier son choix – mais en assurant qu’il est contre les robots de filtrage automatisé que permet l’article 13 (devenu 17) de cette directive adoptée le 26 mars.

Liberté de l’Internet versus presse indépendante ?
 « Il fallait que la directive “Droit d’auteur” soit votée pour que la presse finisse par être indépendante et libre. Sinon, d’ici trois ans, il n’y aura plus de journaux, sauf quelques-uns financés par des géants et des journalistes payés au lance-pierre. Et sans presse, un moteur de recherche n’est pas capable de vous donner autre chose que les résultats de l’Internet », nous explique-t-il. D’un côté, il est salué par le ministre de la Culture, Franck Riester, pour « a[voir]annoncé le 20 mars son engagement en faveur de la directive “Droit d’auteur” ». De l’autre, il est critiqué pour avoir appelé à voter pour un texte qui déroule le tapis rouge aux robots filtreurs au profit des  ayants droits mais – potentiellement – au détriment de la liberté d’expression et des droits fondamentaux.
« Je ne mets pas en balance la liberté de l’Internet contre la liberté des auteurs et ayants droit, nous assure Eric Léandri. Je dis que ce n’est pas des robots filtreurs qu’il faut mettre devant les sites web ».

« Précédent démocratiquement redoutable »
Et le PDG de Qwant de mettre en garde les industries culturelles : « Si c’est le filtrage généralisé que veulent nos amis les ayants droits, ils vont se retrouver en conflit avec d’autres dispositions européennes qui l’interdisent (4) ». Pour un moteur de recherche européen « qui protège les libertés de ses utilisateurs », mais qui ouvre la boîte de Pandore à la légalisation du filtrage généralisé sur « un Internet libre » dont il se revendique pourtant comme un de ses fervents « défenseurs », c’est pour le moins troublant. Le paradoxe de Qwant a de quoi désorienter les internautes qui, à raison
de 70 millions de visites par mois atteintes à ce jour par cet « anti- Google », ont généré en 2018 plus de 18 milliards de requêtes, contre 9,8 milliards en 2017. Le moteur de recherche franco-allemande ne cesse de vanter son modèle avec « zéro traceur publicitaire », son PDG allant jusqu’à présenter son moteur de recherche comme « la Suisse de l’Internet ». Cela ne l’empêche pas d’aller dans le sens du risque énorme pour le Web – 30 ans cette année (5) – de voir se généraliser les robots pour surveiller les contenus de ses utilisateurs.
Pour éviter d’en arriver là, tout va maintenant se jouer lors de la transposition dans chaque pays européen de cette directive « Droit d’auteur » et de son article 13 (devenu 17), lequel (6), concède Eric Léandri, « est écrit avec les pieds » ! « Battons-nous pour mettre en place un site web, totalement open source de base de données globale partagée des auteurs, interrogeable à tout moment, qui est le contraire d’un filtre. Car si l’on généralise par exemple Content ID de YouTube, qui récupérera alors les adresses IP des internautes, cela entre là aussi en contradiction avec toutes les lois européennes – dont le RGPD (7) exigeant le consentement préalable des visiteurs. Cela ne passera pas », prévient-il. Le PDG de Qwant affirme n’être ni « anti-droit d’auteur » ni « pro-GAFA ». Dans un droit de réponse en juillet 2018, sa société mettait tout de même
en garde : « L’article 13 [le 17] créerait de notre point de vue un précédent démocratiquement redoutable » (8). Guillaume Champeau (photo de droite), l’ancien journaliste fondateur et dirigeant de Numerama, devenu il y a deux ans et demi directeur « Ethique et Affaires juridiques » de Qwant, ne disait pas autre chose sur le blog de l’entreprise en juin 2018 : « [L’article 13 devenu 17]exigera des plateformes qu’elles implémentent des méthodes de filtrage automatisées. (…) Ceci aura un impact sur la liberté d’expression » (9). Et il sait de quoi il parle, lui qui fut l’auteur d’un mémoire universitaire en 2015 intitulé « Les intermédiaires de l’Internet face aux droits de l’homme : de l’obligation de respecter à la responsabilité de protéger ». Tristan Nitot, ancien dirigeant de Mozilla Europe devenu il y a près d’un an vice-président
« Advocacy, Open Source & Privacy » de Qwant, se retrouve lui-aussi en porte-à-faux après l’adoption de la directive « Copyright ». Ces deux dirigeants ont forgé ces dernières années leur réputation sur la défense des droits fondamentaux sur un Internet ouvert et neutre. Vont-ils démissionner pour autant ? « Démissions ? Non, il y a aucune démission en perspective, nous répond Eric Léandri. Ils veulent maintenant trouver des solutions. Il n’est pas question de démissionner devant des lois qui ne me conviennent pas vraiment, mais qui empêchent les uns (grands) d’écrabouiller les autres (petits) ». Dans un tweet posté juste après le vote des eurodéputés en faveur de la directive
« Copyright » (lire p.3), le directeur « Ethique et Affaires juridiques » de Qwant ne s’avoue pas vaincu pour autant : « Maintenant que la #CopyrightDirective a été adoptée, nous devons travailler ensemble pour créer les outils libres et ouverts dont nous aurons besoin (y compris une base de données ouverte de signatures d’oeuvres protégées). L’article 13 [le 17] ne devrait pas être appliqué sans ceux-ci ! ». Ce projet de serveur centralisé en laisse perplexes plus d’un (10) (*). Cette solution de la dernière chance a pour but d’éviter non seulement les robots filtreurs mais aussi de recourir aux technologies propriétaires d’identification des œuvres, telles que Content ID (11) ou à Rights Manager de Facebook. Et le PDG de Qwant d’assurer à Edition Multimédi@ :
« Ma proposition règle tous les problèmes et n’entre en conflit avec aucun autre règlement. Qwant financera cette plateforme, non exclusive, que l’on mettra à disposition courant avril. Ce site aura une capacité à gérer des milliards de photos [y compris vidéos, musiques et textes, ndlr]. Nous mettrons aussi les technologies open source à disposition pour que cette base puisse être dupliquée partout en Europe ».

« Mission d’étude » Hadopi-CNC-CSPLA
Mais quid du reste du monde au regard de l’Internet sans frontières ? Reste à savoir
s’il ne s’agira pas d’une usine à gaz. Qwant n’ira pas voir lui-même tous les éditeurs de contenus ; ce sont eux qui les déposeront dans la base d’indexation pour les protéger. L’Hadopi, le CNC et le CSPLA ont lancé le 1er avril « une mission conjointe d’étude et de propositions sur les outils de reconnaissance des contenus protégés sur les plateformes ». @

Charles de Laubier

User-Generated Video (UGV) : la directive SMA ne doit pas tuer ni la liberté d’expression ni la créativité

La nouvelle directive sur les services de médias audiovisuels (SMA) vient
d’être promulguée au JOUE du 28 novembre. Mais, afin d’épargner la liberté d’expression et la créativité, la Commission européenne consulte encore en
vue de publier « le plus rapidement possible » des « lignes directrices ».

Le 14 novembre, les présidents respectifs du Parlement européen et du Conseil de l’Union européenne ont signé la nouvelle directive concernant « la fourniture de services de médias audiovisuels, compte tenu de l’évolution des réalités du marché ». Cette directive dite SMA (services de médias audiovisuels), qui fut définitivement adoptée le 6 novembre,
a été publiée le 28 novembre au Journal Officiel de l’Union européenne (JOUE). Ce texte communautaire – en français ici (1) – doit maintenant être obligatoirement transposé par les Etats membres « au plus tard le 19 septembre 2020 ».

Une menace pour les droits fondamentaux
Mais le plus délicat reste à venir pour les régulateurs audiovisuels nationaux tels que
le Conseil supérieur de l’audiovisuel (CSA) en France. Les YouTube, Dailymotion et autres plateformes vidéo (Facebook, Snapchat, Musical.ly/TikTok, …) sont en effet désormais visés – comme les services de télévision traditionnels et les services de diffusion à la demande (replay et VOD) – par la nouvelle directive SMA censée protéger les mineurs contre les contenus préjudiciables comme la pornographie et protéger tous les citoyens européens contre la haine et les propos racistes, ainsi qu’en interdisant tout contenu incitant à la violence et au terrorisme. Or la question la plus sensible est celle de la définition des User-Generated Video (UGV), qui sont aux plateformes vidéo en particulier ce que les User-Generated Content (UGC) sont à Internet en général. Autrement dit, la liberté d’expression et la créativité des internautes et mobinautes
– rompus aux contenus créés par eux-mêmes – ne doivent pas être les victimes collatérales de la nouvelle régulation des plateformes vidéo.
La tâche des régulateurs nationaux de l’audiovisuel est d’autant moins facile que le nouveaux texte législatif européen manque de clarté, au point qu’il prévoit lui-même que la Commission européenne doit « dans un souci de clarté, d’efficacité et de cohérence de la mise en oeuvre, (…) publier des orientations, après consultation
du comité de contact, sur l’application pratique du critère relatif à la fonctionnalité essentielle figurant dans la définition d’un “service de plateformes de partage de
vidéos” ». Selon les informations de Edition Multimédi@, la Commission européenne
a tout juste commencé à discuter de ces lignes directrices lors d’une première réunion le 12 novembre dernier (2). D’après une porte-parole, Nathalie Vandystadt (photo),
« aucune date précise n’est encore prévue pour la publication des lignes directrices mais la Commission européenne compte les adopter le plus rapidement possible,
après consultation des Etats membres [comité de contact, ndlr] et un atelier sur cette question ». Car entre la théorie et la pratique, les « CSA » européens sont quelque peu démunis face à un texte sujet à interprétations – notamment vis-à-vis des UGV. « Ces orientations devraient être rédigées en tenant dûment compte des objectifs d’intérêt public général à atteindre par les mesures à prendre par les fournisseurs de plateformes de partage de vidéos et du droit à la liberté d’expression », prévient le considérant n°5 de la directive SMA révisée. Les acteurs du Net, eux, étaient plutôt favorables à une autorégulation et non à une nouvelle réglementation contraignante (3). Trois pays – la Finlande, l’Irlande et les Pays-Bas – avaient même émis des réserves sur la portée de cette nouvelle directive modifiant l’ancienne directive SMA de 2010 (4). Dans leur déclaration conjointe du 18 octobre dernier, ils estiment que « la directive SMA n’est pas le cadre approprié pour réglementer les plateformes de partage de vidéos, étant donné que le reste du champ d’application de la directive couvre uniquement les services de médias audiovisuels pour lesquels le fournisseur de services a la responsabilité éditoriale du contenu du programme ». Ces trois pays du Nord de l’Europe mettent en garde contre les dérives possibles au détriment de la liberté d’expression et de la créativité, tout en justifiant qu’ils ne voteront pas pour cette directive révisée : « La réglementation proposée des plateformes de partage de vidéos est difficile à contrôler et elle peut provoquer des effets secondaires indésirables et occasionner une charge administrative disproportionnée ».

Des UGC (Content) aux UGV (Video)
Et la Finlande, l’Irlande et les Pays-Bas d’enfoncer le clou : « Nous estimons que le manque de clarté, aggravé par l’absence d’analyses d’impact et de base factuelle solide, est susceptible de compromettre la sécurité juridique dont ont besoin les régulateurs et le secteur pour mettre en oeuvre les dispositions d’une manière claire, cohérente et effective et dont a besoin le secteur pour innover. Il peut également menacer la capacité des citoyens européens à exercer leurs droits fondamentaux, en particulier leur liberté d’expression ». La convergence entre la télévision et les services Internet a profondément révolutionné le monde de l’audiovisuel et les usages, tant dans la consommation de vidéos que dans leur production par les utilisateurs eux-mêmes. La génération « Millennials » est plus encline à partager des vidéos sur les médias sociaux et les plateformes numériques qu’à rester dans le salon à regarder les chaînes linéaires. Le phénomène des UGV, souvent pétris de liberté d’expression, change la donne.

Des allures de régulation de l’Internet
La directive SMA n’a pas pour but, nous explique-t-on, de réguler les services de médias sociaux en tant que tels, mais elle devrait s’appliquer à ces services « si la fourniture de programmes et de vidéos créées par l’utilisateur en constitue une fonctionnalité essentielle ». Or le législateur européen a considéré que la fourniture
de programmes et des UGV – ces vidéos créées par l’utilisateur – constitue une fonctionnalité essentielle d’un service de médias sociaux « si le contenu audiovisuel n’est pas simplement accessoire ou ne constitue pas une partie mineure des activités de ce service de médias sociaux » (5).
Mais le diable est dans les détails : lorsqu’une partie dissociable d’un service constitue un service de plateformes de partage de vidéos au sens de la directive SMA, seule cette partie « devrait » être concernée par la réglementation audiovisuelle et uniquement pour ce qui est des programmes et des vidéos créées par l’utilisateur.
« Les clips vidéo incorporés dans le contenu éditorial des versions électroniques de journaux et de magazines, et les images animées, au format GIF notamment, ne devraient pas être couverts (…).
La définition d’un service de plateformes de partage de vidéos ne devrait pas couvrir les activités non économiques, telles que la fourniture de contenu audiovisuel de sites web privés et de communautés d’intérêt non commerciales », peut-on lire au considérant n°6. Les « CSA » européens, réunis au sein du Groupe des régulateurs européens des services de médias audiovisuels (ERGA (6)), s’interrogent d’ailleurs eux-mêmes sur l’application qui doit être faire – qui plus est de façon harmonisée à travers les Vingt-huit – de cette directive SMA qui prend des allures de régulation du Net. Dans leur livre d’analyse et de discussion publié le 6 novembre (7) sur l’implémentation de la nouvelle directive SMA, les gendarmes de l’audiovisuel en Europe s’attardent sur la notion de
« service de plateformes de partage de vidéos » introduite dans le premier article de la directive révisée. Ce service de type YouTube ou Dailymotion consiste en « la fourniture au grand public de programmes, de vidéos créées par l’utilisateur [UGV, ndlr], ou des deux, qui ne relèvent pas de la responsabilité éditoriale du fournisseur de la plateforme de partage de vidéos, dans le but d’informer, de divertir ou d’éduquer ». Parmi leurs 34 propositions, les membres de l’ERGA appellent la Commission européenne à fournir une orientation (guidance) afin d’aborder les questions soulevées par la définition de UGV. En substance, quelle est la différence entre une vidéo créée par l’utilisateur et un programme audiovisuel ? Les « CSA » européens veulent disposer de l’interprétation la plus compréhensible possible de la notion d’UGV afin de protéger les publics de ces plateformes vidéo, sur lesquelles sont « uploadées » par les utilisateurs des vidéos qui relèvent de la liberté d’expression et de droits fondamentaux. Toujours dans l’article 1er de la directive SMA révisée, la vidéo créée par l’utilisateur est définie comme étant « un ensemble d’images animées, combinées ou non à du son, constituant un seul élément, quelle qu’en soit la longueur, qui est créé par un utilisateur et téléchargé vers une plateforme de partage de vidéos par ce même utilisateur ou par n’importe quel autre utilisateur ». Quant à l’article 28 ter, il stipule dans le détail que « les fournisseurs de plateformes de partage de vidéos relevant de leur compétence prennent les mesures appropriées pour protéger : a) les mineurs des programmes, vidéos créées par l’utilisateur et communications commerciales audiovisuelles susceptibles de nuire à leur épanouissement physique, mental ou moral (…) ; le grand public des programmes, vidéos créées par l’utilisateur et communications commerciales audiovisuelles comportant une incitation à la violence ou à la haine visant un groupe de personnes ou un membre d’un groupe (…) ; le grand public des programmes, vidéos créées par l’utilisateur et communications commerciales audiovisuelles comportant des contenus dont la diffusion constitue une infraction pénale au titre du droit de l’Union, à savoir la provocation publique à commettre une infraction terroriste (…), les infractions liées à la pédopornographie (…) et les infractions relevant du racisme et de la xénophobie (…) ». On l’aura compris, les vidéos créées par l’utilisateur sont désormais mises sous surveillance par les plateformes du Net qui risquent bien d’appliquer le principe de précaution juridique pour ne pas tomber sous le coup de la loi.

Ni surveillance généralisée ni de filtrage ?
Afin de ne pas être en contradiction avec la directive européenne « Commerce électronique » de 2000 (8), notamment avec son article 15 (« Absence d’obligation générale en matière de surveillance ») selon lequel les Etats membres ne doivent pas imposer aux [hébergeurs] une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites », la directive SMA révisée se veut compatible. « Ces mesures n’entraînent pas de mesures de contrôle ex anteni de filtrage de contenus au moment de la mise en ligne qui ne soient pas conformes à l’article 15 de la directive [« Commerce électronique »] ». C’est à voir. @

Charles de Laubier

Un cadre légal attendu pour le renseignement technique

Le projet de loi explicite les finalités et les techniques associées du renseignement dans un cadre attendu d’autorisation et de contrôle renforcés, avec l’installation d’une nouvelle autorité indépendant (CNCTR) et l’instauration de voies de recours devant le Conseil d’Etat.

Christophe Clarenc (photo) et Dominique de Combles de Nayves, avocats,
cabinet Dunaud Clarenc Combles & Associés

Le gouvernement a présenté en mars dernier un projet de loi relatif au renseignement (1) qui vise à renforcer le cadre légal
et opérationnel de l’activité des services spécialisés de renseignement (2) et, en particulier, des techniques de recueil
de renseignement d’origine électromagnétique (ROEM) (3).

 

Mission, finalités et techniques
Aucunement d’« opportunité » ou d’« exception », contrairement à ce que disent certains commentateurs, ce projet s’inscrit tout à l’inverse dans les recommandations des derniers rapports annuels de la Délégation parlementaire au renseignement (4), du rapport d’information de la commission des lois de l’Assemblée nationale de 2013 sur l’évaluation du cadre juridique applicable aux services de renseignement, et du rapport du Conseil d’Etat de 2014 sur « le numérique et les droits fondamentaux ». Il en va aussi des orientations du livre blanc sur la Défense et la sécurité nationale, qui reconnaît depuis 2008 à la collecte du ROEM un caractère de nécessité et de priorité. Le texte amendé et voté par le Sénat le 9 juin, puis adopté en commission mixte paritaire le 16 juin, préfigure en très grande partie celui qui sera adopté le 24 juin
à l’Assemblée nationale, avant d’être déféré, comme annoncé, au Conseil Constitutionnel.
Le projet de loi rappelle que le renseignement est une politique publique concourant, sous la compétence exclusive de l’Etat, à la stratégie de sécurité nationale, à la Défense et à la promotion des intérêts fondamentaux de la Nation. Le texte législatif rappelle aussi que les services spécialisés, agissant sous l’autorité du gouvernement dans le respect de la loi et des orientations du Conseil national du renseignement (organisme de coordination des services de renseignement français créé en 2008),
ont pour missions, en France et à l’étranger, la recherche, la collecte, l’exploitation
et la mise à disposition des renseignements nécessaires à la connaissance et à l’anticipation des enjeux géopolitiques et stratégiques, ainsi qu’à la prévention des menaces et des risques susceptibles d’affecter la vie de la Nation.

Le projet instaure un encadrement complété, unifié et renforcé des techniques de renseignement, visant conjointement à circonscrire et à sécuriser leur emploi légitime par les services, sous la responsabilité du Premier ministre, et à dûment protéger les libertés fondamentales garanties sur le territoire national – en particulier le respect de
la vie privée, dans toutes ses composantes (secret des correspondances, protection des données personnelles, inviolabilité du domicile), contre toute intrusion injustifiée
ou captation disproportionnée. A cet effet, le projet précise tout d’abord les finalités
du renseignement (5), les techniques de recueil susceptibles d’être utilisées à ces
fins et les conditions de mise en oeuvre de chacune de ces techniques. Il s’agit des techniques d’interception des correspondances, notamment par dispositifs mobiles
de proximité (« IMSI catcher » (6)), de réquisition des données de connexion et de localisation, de sonorisation, de captation d’images, de captation de données informatiques, de localisation en temps réel par dispositif de « balises », de recueil
de données de connexion en temps réel, et de surveillance/détection algorithmique
sur les réseaux (à seule fin de prévention du terrorisme) (7).
Le texte définit ensuite les procédures applicables tant aux autorisations de mise
en oeuvre qu’à leur exploitation, et renforce les garanties en installant une nouvelle autorité indépendante de contrôle – la Commission nationale de contrôle des techniques de renseignement (CNCTR) – aux prérogatives élargies (8) et en instaurant un contrôle juridictionnel devant une formation spécialisée du Conseil d’Etat.

Responsabilité du Premier ministre
Toute mise en oeuvre d’une mesure de recueil de renseignement par un service doit être autorisée par le Premier ministre (9). Ses autorisations sont délivrées sur demande écrite et motivée des ministres de tutelle des services (10) et après avis de la CNCTR (sauf cas d’urgence absolue) lorsqu’elles concernent le territoire national. Les mesures de surveillance internationale (communications émises ou reçues à l’étranger) font l’objet d’un régime d’autorisation distinct. Lorsqu’elle ne suit pas un avis défavorable rendu par la CNCTR, l’autorisation doit en indiquer les motifs. Le Premier ministre tient un registre des demandes et des autorisations. Il assure également la traçabilité de la mise en oeuvre des mesures autorisées, ainsi que la conformité de la centralisation,
de l’exploitation, de la conservation et de la destruction des renseignements collectés.

Contrôles : CNCTR et Conseil d’Etat
Le projet renforce les garanties en conférant à l’autorité indépendante de contrôle,
la nouvelle CNCTR, une composition et des prérogatives élargies. La CNCTR sera composée d’au moins neuf membres : deux députés et deux sénateurs, deux membres du Conseil d’Etat et deux magistrats hors hiérarchie de la Cour de cassation élus par leurs assemblées respectives, et une personnalité qualifiée en matière de communications électroniques nommée sur proposition du président de l’Autorité de régulation des communications électroniques et des postes (Arcep) (11). Le président de la CNCTR est nommé parmi les membres du Conseil d’Etat et les magistrats de la Cour de cassation élus.
L’autorité indépendante de contrôle est composée de deux formations : une plénière et une restreinte. Ses travaux sont couverts par le secret de la Défense nationale. Elle a pour mission de veiller à la conformité de la mise en oeuvre des techniques de recueil de renseignement sur le territoire national. Elle interviendra également dans le contrôle des mesures de surveillance internationale, dans des conditions précisées par décret. Elle exerce cette mission en amont, par avis sur les demandes d’autorisation et par contrôle du respect de la procédure de délivrance, et en aval, par contrôle de la mise
en oeuvre et de l’exploitation, avec plein accès (garanti notamment par la création d’un délit d’entrave) à l’ensemble des données et endroits nécessaires.
Les avis sont rendus par le président ou l’un des autres membres de la formation restreinte, en formation restreinte ou plénière pour toute question nouvelle ou sérieuse, et obligatoirement en formation plénière lorsque la demande vise un parlementaire, un magistrat, un avocat ou un journaliste. La CNCTR peut être saisie de réclamation par toute personne souhaitant vérifier qu’aucune technique suspectée n’est irrégulièrement mise en oeuvre à son égard. Elle procède aux vérifications nécessaires et notifie à l’auteur de la réclamation qu’il y a été procédé, sans confirmer ni infirmer la mise en oeuvre de la technique. Elle peut également être saisie par tout agent des services
qui aurait connaissance, dans l’exercice de ses fonctions, de faits susceptibles de constituer une violation manifeste du cadre légal (ce droit/devoir de signalement des agents faisant l’objet d’une protection expresse), avec devoir de saisir le procureur de la République si elle estime que l’illégalité est susceptible de constituer une infraction. En cas de manquement estimé dans la délivrance d’une autorisation de mise en oeuvre d’une technique, dans la mise en oeuvre d’une technique autorisée ou dans la collecte, la transcription, l’extraction, la conservation ou la destruction des renseignements collectés, la CNCTR adresse au Premier ministre, au ministre responsable et au service concerné une recommandation tendant à l’interruption de la mise en oeuvre de la technique en cause et/ou à la destruction des renseignements collectés. Elle peut
saisir le Conseil d’Etat si le Premier ministre ne donne pas suite à ses avis ou recommandations. Elle rend un rapport annuel circonstancié de son activité. Le projet renforce de plus fort les garanties, ensuite, en instaurant ainsi devant une formation spécialisée du Conseil d’Etat la possibilité d’un contentieux sur la mise en oeuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’Etat. La procédure et le contradictoire sont adaptés aux exigences du secret de la Défense nationale.
Les recours sur la mise en en oeuvre des techniques sont ouverts à la CNCTR ainsi qu’à toute personne souhaitant vérifier qu’aucune technique suspectée n’est irrégulièrement mise en oeuvre à son égard et justifiant (hors requête en référé) réclamation préalable auprès de la CNCTR. Le Conseil d’Etat peut également être
saisi à titre préjudiciel par une juridiction administrative ou une autorité judiciaire
saisie d’une procédure ou d’un litige dont la solution dépend de l’examen de
la régularité d’une technique de recueil de renseignement.

L’Etat peut être condamné
Lorsque le Conseil d’Etat constate qu’une technique de recueil de renseignement est ou a été mise en oeuvre illégalement ou que des renseignements ont été conservés illégalement, elle peut annuler l’autorisation de mise en oeuvre et ordonner la destruction des renseignements collectés. Elle en informe alors le requérant ou la juridiction de renvoi et peut condamner l’Etat à indemniser le préjudice subi. Elle avise le procureur de la République si elle estime que l’illégalité constatée est susceptible de constituer une infraction. Le projet ne semble pas envisager un accès aux réclamations devant la CNCTR et aux recours devant le Conseil d’Etat au profit des opérateurs de communications électroniques et des fournisseurs de services en ligne concernés par les techniques mises en œuvres sur le territoire national, ce qu’il aurait pu prévoir dans le cadre de leur régime de responsabilité propre au titre de ce dispositif. @

Le Conseil d’Etat se pose en allié de la neutralité de l’Internet et de la liberté d’expression

Dans son rapport 2014 sur « le numérique et les droits fondamentaux », le Conseil d’Etat met en garde la France contre toutes atteintes à la neutralité de l’Internet et à la liberté d’expression. Il prône notamment la création du statut de « plateforme d’intermédiation » et un recours au droit à l’oubli.

Par Winston Maxwell, avocat associé, Hogan Lovells

Winston MaxwellAprès une étude sur « le droit souple » en 2013, le Conseil d’Etat consacre son étude annuelle 2014 au numérique et aux droits fondamentaux (1). En 1998 le Conseil d’Etat avait déjà publié un rapport précurseur en matière de droits sur Internet (2).
Seize ans plus tard, le Conseil d’Etat examine de nouveau la délicate cohabitation entre le droit et l’Internet, s’attaquant cette fois-ci aux problèmes de Big Data, algorithmes, neutralité de l’Internet, loyauté des plateformes, droit à l’oubli, activités de renseignement, et gouvernance de l’Internet.

Neutralité du Net versus « priorisation »
La grande qualité de cette étude tient à sa prise de hauteur par rapport aux débats actuels sur la dominance des plateformes américaines et les menaces posées par la collecte de renseignement. Le rapport refuse toute attitude caricaturale sur la lutte entre le droit des citoyens français et la menace posée par des plateformes « GAFA » (3). Même en matière d’activités de renseignement, le Conseil d’Etat reste mesuré. Sur l’affaire Snowden, le Conseil d’Etat souligne les dérapages de la National Security Agency (NSA) à l’égard de la surveillance de citoyens non-américains, mais remarque en même temps que la loi française accorde une liberté similaire aux agences de renseignement françaises pour espionner les communications en dehors du territoire français. Le rapport préconise un renforcement des contrôles des activités de renseignement en France par la création d’une autorité administrative indépendante.

Financement de la création contre meilleure bande passante ?
En matière de neutralité de l’Internet, le rapport soutient le principe d’une neutralité des fournisseurs d’accès à Internet (FAI), mais estime « prématurément contraignantes » certaines propositions du parlement européen qui encadreraient strictement les « services gérés ». Selon le rapport, tant qu’il n’existe pas de baisse dans la qualité de service de l’Internet « meilleurs efforts » (best effort), il serait disproportionné d’encadrer trop strictement des services payants de « priorisation » (3).
De plus, le Conseil d’Etat critique l’idée du Conseil supérieur de l’audiovisuel (CSA) selon laquelle un FAI pourrait accorder une bande passante prioritaire aux plateformes qui s’engageraient volontairement à appliquer les mesures en faveur de la création française. Une telle discrimination dans la bande passante serait contraire à la neutralité du Net. Une priorisation pourrait s’envisager toutefois dans le cadre d’un service géré, ou bien au niveau des magasins d’applications (App Stores). Le rapport analyse le concept de « neutralité des plateformes » (5), proposé par le Conseil national du numérique (CNNum) et par le rapport de la sénatrice Catherine Morin-Desailly (6). Selon le Conseil d’Etat, la dichotomie « hébergeur/éditeur » envisagée
par la directive « Commerce électronique » (7) n’est pas satisfaisante. Un intermédiaire qui propose, conseille et organise des contenus n’est pas un hébergeur. Mais il n’est pas un éditeur non plus, car il ne crée aucun contenu. Il serait disproportionné de lui applique une responsabilité d’éditeur. Le rapport propose de créer une nouvelle catégorie d’intermédiaire technique, dénommée « plateforme d’intermédiation »,
qui inclurait « tous les sites qui servent de point de passage pour accéder à d’autres contenus, notamment les moteurs de recherche, les agrégateurs ou les comparateurs de prix ». (p. 216). Le rapport reconnaît que les plateformes d’intermédiation détiennent un certain pouvoir, mais rejette l’idée de leur appliquer le statut d’« infrastructure essentielle », ni de leur appliquer un devoir total de neutralité. Selon le Conseil d’Etat,
il ne serait pas envisageable d’appliquer à ces plateformes un devoir de neutralité car l’objet même de ces plateformes est de hiérarchiser des contenus et de les conseiller aux utilisateurs.

Appliquer un « devoir de loyauté »
Ces plateformes d’intermédiation ont une activité de sélection qui est incompatible avec un devoir de neutralité. Appliquer aux plateformes une obligation de non-discrimination nierait leur rôle de tri et de recommandation. Le Conseil d’Etat suggère de reconnaître aux plateformes un rôle de conseil à l’internaute, et de leur appliquer un « devoir de loyauté » à l’égard des utilisateurs. Ce devoir de loyauté se traduirait essentiellement par une transparence à l’égard des utilisateurs sur la méthodologie utilisée par la plateforme, et notamment les algorithmes de recherche ou de recommandation (8).
Les critères utilisés dans l’algorithme doivent être pertinents par rapport aux objectifs recherchés. Le devoir de loyauté interdirait aux plateformes de cacher certains objectifs ou conflits d’intérêts, tels que favoriser ses propres services par rapport aux services d’un fournisseur tiers qui rempliraient mieux les besoins de l’utilisateur.

Balkanisation et surblocage du Net
La plateforme devra fournir aux utilisateurs une information claire sur les critères de retrait de contenus licites, et permettre à l’utilisateur de fournir ses observations en
cas de retrait de contenus par la plateforme. A l’égard d’utilisateurs commerciaux,
la plateforme devra fournir une information préalable avant de changer les règles
de référencement, afin que les utilisateurs commerciaux puissent s’adapter.
Enfin, le rapport ne s’alarme pas de l’existence de règles d’utilisation au sein des plateformes. Il s’agit d’une forme de droit souple. Certes les règles d’utilisation peuvent conduire au retrait de certains types de contenus, et éventuellement poser une menace pour la liberté d’expression. Mais interdire aux plateformes la possibilité de retirer des contenus en fonction de leurs règles internes créerait une interférence disproportionnée avec leur liberté d’entreprendre et leur liberté contractuelle. En tant qu’instrument du droit souple, ces règles internes devraient en revanche obéir à certaines règles de transparence et de procédure. Le rapport propose que les règles d’utilisation soient élaborées en concertation avec les utilisateurs. La création d’un nouveau statut de
« plateforme d’intermédiation » nécessiterait une modification de la directive
« Commerce électronique » (9).
Concernant l’application de la loi française aux sites étrangers, le Conseil d’Etat propose de créer un socle de règles fondamentales qui s’appliqueraient à tout service qui viserait le public français. Ces règles viseraient la protection de droits fondamentaux de l’individu, et seraient considérées comme des « lois de police » qui seraient prioritaires par rapport aux contrats privés. Parmi ces règles de police figurerait la protection des données personnelles, ainsi qu’un devoir de coopérer avec la justice en France. Pour le Conseil d’Etat, un service étranger qui vise le public français devrait avoir une obligation de coopérer avec la justice en France. En revanche, il n’est pas favorable à une application systématique de toute la réglementation française. Il rappelle que la France n’est pas seulement un pays consommateur de services en provenance de l’étranger, mais qu’elle produit elle-même des services et contenus disponibles à l’étranger via l’Internet. Appliquer une règle de « pays de destination »
à l’égard de tous les aspects de la réglementation créerait un précédent international regrettable, car chaque pays pourrait dès lors interdire un service Internet qui n’était pas en conformité avec l’ensemble de la réglementation locale. Pour le Conseil d’Etat, une telle balkanisation de l’Internet serait dommageable pour la liberté d’expression et pour l’innovation.
En matière de lutte contre la contrefaçon en ligne, le rapport préconise de créer une
« injonction de retrait prolongé » qui pourrait être appliquée par une autorité administrative indépendante telle que l’Hadopi, ou son éventuel successeur. Il suggère de légitimer l’utilisation des outils de reconnaissance de contenus au sein des plateformes, mais souhaite les mieux encadrer afin de limiter les risques de surblocage. A l’instar des autres obligations de transparence qui pèseraient sur les plateformes, celles-ci auraient une obligation de publier les règles de fonctionnement des outils de reconnaissance de contenus, et les mesures prises par les plateformes pour éviter le surblocage. Sur la protection des données à caractère personnelles, le Conseil d’Etat soutient la proposition de règlement européen, tout en critiquant certains de ses aspects. Certaines dispositions du règlement sont trop détaillées, selon lui, et risquent de devenir obsolètes rapidement. Certaines dispositions sont trop vagues et seraient contraires à la règle constitutionnelle de prévisibilité de la loi (p. 194). Il soutient l’idée d’un droit à l’oubli sur les moteurs de recherche, tout en soulignant la nécessité de prendre en considération la liberté d’expression de l’éditeur du site déréférencé, et la liberté d’expression de l’internaute qui ne pourra plus trouver l’information déréférencée. L’éditeur du site déréférencé doit bénéficier d’un droit de recours efficace contre le déréférencement.

Droit à l’oubli versus liberté d’expression
Le Conseil d’Etat a publié, à la fin de leur rapport, un article dont je suis l’auteur sur
la liberté d’expression aux Etats-Unis. Dans cet article (10), je soutiens que le droit
à l’oubli tel que défini par la Cour de justice de l’Union européenne (CJUE) serait contraire à la liberté d’expression aux Etats-Unis, car il créerait un « effet réfrigérant » (chilling effect) nuisible à la libre circulation des idées. Je soutiens par ailleurs que la CJUE, dans sa décision sur le droit à l’oubli, n’a pas suivi sa propre méthodologie en matière de proportionnalité, car elle n’a pas pris la mesure des effets négatifs du droit
à l’oubli sur la liberté d’expression, ni examiné si d’autres mécanismes, moins attentatoires à la liberté d’expression, pouvaient atteindre l’objectif recherché. @

* Winston Maxwell est membre de la Commission
de réflexion sur le droit et les libertés à l’âge
du numérique à l’Assemblée nationale.

Viviane Reding : « C’est à la Cnil de décider s’il faut sanctionner Google sur ses nouvelles règles »

La vice-présidente de la Commission européenne, en charge de la Justice,
des Droits fondamentaux et de la Citoyenneté, répond aux questions de Edition Multimédi@ sur la réforme de la protection des données personnelles, les règles
de confidentialité de Google, le « cloud » ou encore l’ACTA.

Propos recueillis par Charles de Laubier

Edition Multimédi@ : Vous avez fait le 25 janvier deux propositions législatives sur la protection des données personnelles en Europe, pour remplacer les législations nationales qui constituent un patchwork : des Etats contestent-ils votre projet ?
Viviane Reding :
La réforme soumise par la Commission européenne met à jour et modernise les principes inscrits
dans la directive de 1995 sur la protection des données, afin
de garantir à l’avenir les droits en matière de respect de la vie privée. La réforme comprend deux propositions législatives : un règlement définissant
un cadre général de l’Union européenne pour la protection des données, et une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes (1) . Depuis que la Commission a annoncé sa proposition de réforme, les réactions des États membres ont été dans l’ensemble positives, mais ils sont toujours en train de prendre position. On en saura plus une fois que la réforme sera discutée – en juin prochain – au Conseil Justice et Affaires intérieures (JAI), qui regroupe les ministres européens concernés.

EM@ : La suppression des notifications aux autorités (de type Cnil) des traitements « non risqués » de données personnelles ne laisse-t-elle pas « libres » les acteurs du Web ?
V. R. :
La réforme réduira sensiblement les formalités administratives, en particulier celles des PME – notamment l’obligation actuelle de notifier le traitement des données, qui coûte aux entreprises quelque 130 millions d’euros par an, ou l’autorisation préalable pour les transferts internationaux de données sur la base de règles d’entreprise contraignantes ou de clauses contractuelles types. La réforme imposera aux entreprises une responsabilité plus grande lorsqu’elles traitent des données. Les grandes entreprises (employant plus de 250 salariés), ainsi que celles qui observent systématiquement les comportements des citoyens, devront désigner un délégué à la protection des données.

EM@ : Le « cloud » va intensifier les sites web extraeuropéens et le danger sur les données personnelles (collectes, cookies, stockage, …). La législation proposée aura-t-elle une portée mondiale suffisante ?
V. R. :
La protection des données est un enjeu global. Les données personnelles sont mondialisées. Le « nuage » est apatride, ce qui va de même pour un grand nombre des entreprises multinationales qui traitent ces données. A l’ère de la mondialisation des flux de données, il nous faut une approche commune entre les pays partageant les mêmes valeurs. Sinon, nous pourrions nous retrouver avec des normes imposées par d’autres. Le mécanisme euro-américain Safe Harbour (2) est un bon point de départ. Nous devrions le développer davantage. Pour relever ces défis, la Commission européenne propose un système qui garantira, pour les données transférées à l’extérieur des Vingt-sept, un niveau de protection similaire à celui assuré à l’intérieur (déclaration, consentement préalable, droit à l’oubli, respect de la vie privée, etc). Ce système comportera des règles claires sur la législation applicable aux entreprises ou aux organisations établies en dehors de l’Union européenne. Il précisera notamment que les règles européennes s’appliquent dans tous les cas où les activités de l’organisation sont liées à l’offre de biens ou de services à des personnes situées en Europe ou au suivi de l’évolution de leur comportement.

EM@ : Le 22 février, l’administration Obama a présenté une « charte pour la protection des données », conclue avec les géants du Web. Comment accueillez-vous cette initiative ?
V. R. :
Je suis contente que l’administration Obama ait récemment franchi un pas décisif en affirmant son intention de travailler de concert avec le Congrès américain sur une « charte pour la protection des données » outre- Atlantique. Ceci implique que les États-Unis se rapprochent du modèle régulateur européen. C’est important puisque – sous le nouveau système européen – les règles de l’Union européenne devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger. Et ce, par les entreprises implantées sur le marché européen et proposant leurs services aux citoyens européens. Aucune société opérant en Europe ne serait en mesure de contourner les règles. Nous coopérons avec d’autres pays en dehors de l’Europe, ainsi qu’avec des organisations internationales, pour s’assurer que le droit des Européens à la protection des données est garanti, même quand leurs données font l’objet d’un traitement à l’étranger. Nous ne pouvons pas fonctionner en vase clos – d’autant plus que l’Internet n’a pas de frontières !

EM@ : Le 13 février, Bruxelles et Washington ont donné leur feu vert au rachat de Motorola Mobility par Google, devenant maître du contenant et du contenu : êtes-vous d’accord avec les nouvelles règles de confidentialité de Google applicables au 1er mars ?
V. R. :
Le groupe de travail européen de l’article 29 (3) a chargé la Commission nationale de l’informatique et des libertés (Cnil) d’analyser les nouvelles règles de confidentialité de Google. Le 27 février dernier, elle a confirmé dans une lettre adressée à Google que ses nouvelles règles de confidentialité ne sont pas conformes avec les dispositions de la directive de 1995 sur la protection des données (4). Je salue la déclaration des autorités européennes de protection des données demandant à Google de retarder l’introduction de ses règles de confidentialité, jusqu’à ce que la question de leur conformité avec les règles européennes soit résolue.

EM@ : Mais par courrier daté du 28 février, Google a envoyé de Paris une fin de non recevoir à la Cnil et applique depuis le 1er mars ses nouvelles règles. Que comptez-vous faire ?
V. R. :
Il est regrettable que Google soit allé de l’avant avec les nouvelles règles, avant d’aborder les préoccupations de l’autorité française de la protection des données. La décision finale d’infliger ou non une sanction à Google incombe à la Cnil, et non à la Commission européenne. Or, à mon avis, l’une des plus grandes « sanctions » serait cependant la perte de confiance des consommateurs. Et ceci, parce que Google,
comme tout autre service en ligne, dépend des données qui leur sont confiées par les consommateurs et de la confiance des consommateurs dans l’utilisation qui en sera faite.

EM@ : Vous avez dit le 22 février : « La protection du droit d’auteur ne peut jamais être une justification pour supprimer la liberté d’expression ou la liberté de l’information, (…) Bloquer l’Internet n’est jamais une option ». Quand comptez-vous saisir la Cour de justice de l’Union européenne pour savoir si l’ACTA est compatible avec les libertés fondamentales ?
V. R. :
La Commission européenne prendra la décision formelle de saisir la Cour de justice européenne dans les semaines à venir – une proposition doit être adoptée par le collège des commissaires. Nous estimons que cette étape est nécessaire – le débat sur l’ACTA devrait être fondé sur des faits et non sur les craintes ou les rumeurs. Il incombe
à la Commission européenne de fournir à ceux qui ont à se prononcer sur l’ACTA – nos représentants parlementaires, mais aussi le grand public – l’information la plus détaillée
et la plus précise qui existe sur la compatibilité de l’ACTA, avec toutes les libertés fondamentales consacrées dans les traités de l’Union européenne. Un avis de la Cour
de justice sur la légalité de l’ACTA apportera de la clarté à cet égard. @