Responsabilité et données : le « Je t’aime moi non plus » des éditeurs en ligne vis-à-vis de Facebook

La pluralité de responsables dans le traitement des données personnelles n’implique pas forcément une responsabilité conjointe. C’est le raisonnement que devrait avoir la Cour de justice européenne dans l’affaire « Fashion ID ».
Or, son avocat général n’en prend pas le chemin. Erreur !

Par Etienne Drouard et Joséphine Beaufour, avocats associés, cabinet K&L Gates

L’éditeur d’un service en ligne – site web et/ou application mobile – peut-il être coresponsable de la collecte, par Facebook, des données personnelles des visiteurs de son service en raison de l’intégration d’un bouton « J’aime » de Facebook au sein de son service ? Selon l’avocat général de la Cour de justice de l’Union européenne (CJUE), lequel a présenté le 19 décembre 2018 ses conclusions dans l’affaire « Fashion ID » (1), la réponse devrait être « oui ».

Communauté d’intérêt et responsabilité
Cet avocat général (2) cherche à construire, en matière de protection des données personnelles comme en matière de propriété intellectuelle, un régime de responsabilité liée à l’insertion d’un lien hypertexte vers les services d’un tiers. En matière de propriété intellectuelle, il aura fallu 14 années de controverses avant de juger au niveau européen qu’un lien hypertexte peut être un acte de représentation d’une oeuvre nécessitant, pour celui qui intègre un lien au sein de son service, de recueillir l’autorisation du titulaire des droits attachés à l’oeuvre accessible via ce lien (3). En matière de protection des données personnelles, cette fois, quelle est la responsabilité pour l’éditeur d’un service en ligne résultant de l’insertion d’un lien hypertexte d’un tiers – en l’occurrence le bouton « J’aime » de Facebook – sur son site web, permettant à ce tiers de collecter des données personnelles des visiteurs du site web concerné ? Comme en matière de propriété intellectuelle, l’avocat général de la CJUE se demande si le critère décisif pour déclencher une telle responsabilité ne serait pas celui d’une communauté d’intérêts entre celui qui intègre le lien sur son site web et celui qui a conçu seul les fonctionnalités que ce lien déclenche. Dans cette affaire « Fashion ID » – du nom de la société allemande de vente en ligne de prêt-à-porter – il est établi que l’adresse IP et l’identifiant du logiciel de navigation du visiteur du site web de Fashion ID sont transmis à Facebook du fait de l’intégration d’un bouton « J’aime » sur ce site, même si le visiteur ne clique pas sur ce bouton « J’aime », et même s’il ne dispose pas d’un compte Facebook. La « Verbraucherzentrale NRW eV », une association allemande de protection des consommateurs a introduit une action en cessation à l’encontre de Fashion ID au motif que l’utilisation du bouton « J’aime » de Facebook sur ce site web était contraire aux lois allemandes sur la protection des données personnelles, lois transposant la directive européenne «Protection des données personnelles » de 1995. Puisque cette action ayant été introduite avant l’entrée en vigueur du RGPD (4), la CJUE rendra donc sa décision en application de cette directive de 1995 et des lois de transposition allemandes (5). L’association reproche ainsi à Fashion ID de n’avoir fourni aucune information à ses visiteurs sur l’existence d’une telle collecte par Facebook. Le régime de responsabilité entre Facebook et Fashion ID reste en suspens : est-elle conjointe, solidaire, ou distincte ? Pour obtenir une réponse fiable, l’association allemande a saisi la CJUE d’une question préjudicielle afin de savoir si Fashion ID peut être considéré comme « responsable du traitement » au sens de la directive de 1995, alors même qu’elle ne peut avoir elle-même aucune influence sur ce processus de traitement des données par Facebook ?
L’avocat général de la CJUE fait référence, dans ses conclusions, à l’arrêt
« Unabhängiges » (6) du 5 juin 2018 dont l’affaire serait similaire à celle de Fashion ID, au motif que : l’éditeur de site web intègre dans son site une fonctionnalité développée et mise à disposition par Facebook, permettant ainsi la collecte de données personnelles par Facebook, résultant de l’enregistrement par Facebook de cookies
sur les terminaux des visiteurs de sa page web. L’occasion de faire cette analogie ayant été trop belle, il en a conclu que le gestionnaire d’un site web qui y intègre un lien hypertexte installant le « plugiciel » (ou plugin en anglais) d’un tiers – en l’espèce,
le bouton « J’aime » de Facebook – permettant la collecte par ce tiers de données personnelles, devrait être considéré comme un « coresponsable » de cette collecte avec ledit tiers ayant conçu ce plugiciel.

« Unité de finalités et de moyens » : vague
Inventer des similitudes peut parfois tourner à la conversation de comptoir. L’avocat général a cherché à découvrir, coûte que coûte, « une identité de finalités et de
moyens » dans l’opération de collecte et de transfert des données personnelles pour que Facebook et Fashion ID soient jugés coresponsables. Selon lui, la détermination commune des moyens serait caractérisée par la décision prise par Fashion ID d’utiliser le plugiciel fourni par Facebook, outil permettant la collecte et la transmission des données personnelles à Facebook. Ainsi, tant Facebook que Fashion ID « paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données ».

Des conclusions dénuées de tout fondement
Par ailleurs, l’avocat général, a estimé que la finalité pour laquelle Fashion ID a intégré le bouton « J’aime » sur son site web serait d’améliorer la visibilité de ses produits par le biais du réseau social. S’il admet que cette finalité ne correspond pas à celle poursuivie par Facebook (à savoir le profilage des visiteurs à des fins de publicités ciblées), il affirme cependant que les deux parties « paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire ». Le critère retenu ici ne serait donc pas l’identité de la finalité poursuivie, mais « une unité de la finalité : commerciale et publicitaire », critère beaucoup plus large, vague et sujet à interprétation que le premier. La conclusion à laquelle parvient l’avocat général est dénuée de tout fondement juridique connu ou prévu par les textes en vigueur hier ou aujourd’hui. D’une part, ni la directive de 1995, ni le RGPD, ni la CJUE jusqu’à présent, ne se fondent sur une « identité de finalités » ou encore une « unité de finalités », mais bien sur la détermination commune de finalités par les deux responsables de traitement, c’est-à-dire une (ou plusieurs) finalité(s) déterminée(s) d’un commun accord.
D’autre part, la détermination conjointe de moyens ne fonde pas la décision prise par un éditeur de site web d’intégrer un plugiciel d’un tiers sur sa page web. Il serait, au contraire, grand temps d’admettre qu’un seul et même moyen de traitement de données, peut servir des finalités et des intérêts différents, voire divergents, déclenchant des responsabilités distinctes pour des traitements de données qui peuvent être étrangers l’un de l’autre ou propres à un acteur, et échappant à la connaissance, au contrôle ou au bénéfice d’un autre acteur. C’est au prix de cette distinction des intérêts et des finalités, qu’on peut réguler l’économie numérique en évitant de confondre David et Goliath et de rendre un éditeur européen de services coresponsable de l’activité d’un vendeur américain de profils publicitaires. Fashion ID
et Facebook ne sont pas coresponsables de traitement ; Fashion ID n’a pas déterminé conjointement avec Facebook les finalités et les moyens qu’aura Facebook de traiter des données. La pluralité de responsables de traitement n’implique pas forcément une responsabilité conjointe. Autrement dit, quand on est plusieurs, on ne forme pas qu’un. Selon la directive de 1995, un responsable de traitement est « la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (7). Cette définition a été reprise à l’identique dans le RGPD (8) : elle admet qu’il peut y avoir plusieurs coresponsables décidant conjointement de la finalité du traitement et des moyens à mettre en oeuvre pour la réaliser (9). S’il peut exister différents niveaux de responsabilité conjointe, pour tout ou partie d’un traitement de données, la question posée désormais à la CJUE est celle avant tout de savoir comment caractériser une telle responsabilité conjointe et non de la décréter par paresse lorsqu’on se trouve en présence de plusieurs acteurs autour d’un même moyen de traitement de données. Tant la directive de 1995 que le RGPD
de 2018 posent un critère repris par la CJUE, celui de la « détermination conjointe des finalités et des moyens » du traitement opéré par les personnes physiques ou morales. Or, l’avocat général ne reprend pas ce critère d’appréciation puisque, selon lui, pour qu’il y ait responsabilité conjointe, il est nécessaire que les deux opérateurs poursuivent une unité de finalité et non pas qu’ils déterminent conjointement la finalité de traitement. Or les finalités poursuivies par Fashion ID et par Facebook sont divergentes.
Il est faux d’affirmer en l’espèce que les deux parties auraient déterminé de façon commune la finalité de l’opération de traitement consistant en la collecte des données personnelles des visiteurs du site web de Fashion ID. En effet, Facebook n’est convenu de rien avec personne lorsqu’il a conçu son plugiciel lui permettant à lui – et à lui seul – de collecter les données de personnes visitant un site web tiers. Facebook n’a pas davantage discuté avec quiconque de sa stratégie « data », consistant à collecter et traiter des données à des fins de profilage et de ciblage publicitaire, y compris lorsque les personnes concernées ne se sont jamais inscrites sur Facebook. Fashion ID a simplement décidé, a posteriori, d’intégrer ce plugiciel dans sa page web afin de bénéficier de la diffusion qu’un bouton « J’aime » lui procure au sein des membres
de la communauté Facebook d’un de ses visiteurs, si ce dernier a un compte Facebook et s’il clique « J’aime ». La société Fashion ID n’a en aucun cas déterminé les moyens essentiels à la collecte par Facebook des données car elle n’a pas participé à la conception du plugiciel, de ses fonctionnalités, de ses finalités et de leur participation
à la stratégie « data » de Facebook.

Ce qu’en disent les « Cnil » européennes
Ainsi, Fashion ID et Facebook ne peuvent être qualifiés de responsables conjoints d’un tel traitement, non pas parce que ce serait une erreur d’appréciation discutable, mais parce que les régulateurs européens et le RGPD disent le contraire. Comme l’a relevé le G29 des « Cnil » européennes, « la coopération dans le traitement ne signifie pas qu’il y a forcément coresponsabilité. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble d’opération, doit être considéré uniquement comme un transfert de données entre des responsables distincts » (10). Il faudra être encore un peu patient avant d’avoir la position finale de
la CJUE, en espérant, d’ici là, que celle-ci ne se trompera pas de question ni de raisonnement. @

Les Etats et la régulation des GAFAM : le paradoxal retour à la souveraineté nationale

Dès le début du XXe siècle avec la Standard Oil, puis avec les conglomérats
de l’électricité, du rail ou des télécoms, et récemment de l’agro-alimentaire
ou de l’industrie pharmaceutique, les lois antitrust américaines ont préservé
la concurrence en démantelant des groupes surpuissants. Et sur Internet ?

Par Rémy Fekete, avocat associé, cabinet Jones Day

Indulgence des autorités de la concurrence ou inadaptation de la régulation de la concurrence à l’ère numérique, les GAFAM ont été laissés libres de poursuivre leur croissance interne et l’acquisition de leurs concurrents (1) pour devenir non seulement les « géants du numérique », mais surtout des concurrents significatifs dans tous les domaines d’activité : régie publicitaire, secteur bancaire
et financier, et vente de tous biens et services.

L’exéquatur rendu difficile
On a pu en conclure que la régulation à l’échelle nationale – que ce soit en matière fiscale, sociale, concurrentielle ou dans les domaines de la régulation des médias et des télécoms – n’était plus adaptée à ces acteurs globaux. Il est vrai que le principe
de l’économie numérique, cette désintermédiation mettant en contact directement l’entreprise globale et ses consommateurs à travers le monde, laisse peu de prises
aux instruments juridiques traditionnels. Sans présence physique, ni filiale ni distributeur ou agent, il est en effet difficile d’appréhender l’entité à qui imposer la réglementation nationale. Au surplus, les groupes internationaux ont su optimiser les conditions légales applicables selon les pays, dans des organisations qui rendent difficiles l’exéquatur des règles et décisions de justice à leur encontre.
Ce phénomène s’illustre particulièrement en matière de fiscalité : dès lors que le critère pour taxer une entreprise repose sur la présence physique de celle-ci – à savoir un établissement stable –, la fourniture de ses prestations numériques ne saurait justifier
à elle seule une imposition de son activité, du moins à l’aune du droit positif (2).
Il y a également une inadéquation de certaines modalités d’application du droit de la concurrence à l’économie numérique, laissant la porte ouverte à des activités non contrôlées, à des acteurs non régulés. En effet, dès lors que le chiffre d’affaires déclaré est érigé en critère de référence dans l’examen d’une concentration à l’échelle nationale (3), l’organisation en nuage des entreprises du numérique leur a permis
de demeurer sous les seuils nationaux en vigueur. Devant l’inertie des mécanismes nationaux, on a pu craindre que l’Etat soit devenu impuissant – voire obsolète – pour engager une régulation efficace du numérique, et orienter ses espoirs vers une action supranationale pour tenter de régenter efficacement les acteurs globaux du Net. L’année 2018 a été en partie décisive pour la régulation internationale des grandes entreprises du numérique, avec l’entrée en vigueur en Europe à compter de mai 2018 du RGPD (4) : la concomitance de son entrée en vigueur avec le déferlement médiatique lié aux affaires de pillage de données personnelles à des fins électorales
a sûrement aidé au succès du modèle européen. On est loin du modèle initial défendu par Eric Schmidt (5) en 2009 lorsqu’il affirmait que « seuls les criminels se soucient de protéger leurs données personnelles » (6). Ironie, dix ans plus tard, le 21 janvier 2019, la Cnil a infligé à Google une amende de 50 millions d’euros pour non-respect du RGPD justement (lire pages 6 et 7).
Sur le terrain fiscal, les espoirs d’une solution globale risquent de s’évanouir. La Commission européenne avait pourtant proposé le 21 mars 2018 une taxe européenne sur les recettes publicitaires (7). Cependant, au sein du Conseil de l’Union européenne (UE), l’unanimité est requise en matière fiscale (8). Tant que certains pays membres – Irlande, Suède, Danemark – verront leurs intérêts propres à héberger des groupes internationaux comme supérieurs à l’intérêt global qui tend à une régulation fiscale raisonnable de ceux-ci, le vote d’une taxe européenne sur les services numériques restera à l’état de chimère. La Commission européenne vient de suggérer le passage
à la majorité qualifiée pour certaines propositions législatives relatives à la fiscalité (9). Mais cette modification ne requiert-elle pas elle-même un vote à l’unanimité ? Il est parfois des gesticulations qui sont autant d’aveux d’impuissance.

L’OCDE espère « le consensus d’ici 2020 »
L’OCDE (10) s’est pourtant saisi du sujet de la fiscalité des acteurs du numérique depuis plus de vingt ans (11) avec son « Plan d’action sur l’érosion de la base d’imposition et le transfert de bénéfices » (BEPS). Malgré son rapport de 2015 sur
« l’Action 1 » (12) et son rapport du 16 mars 2018 sur « les défis fiscaux soulevés par
la numérisation » (13), un accord international dans le cadre de l’OCDE ne sera pas adopté avant 2020. Pascal Saint-Amans, directeur du centre de politique et d’administration fiscales de l’OCDE, peut se réjouir, le 21 janvier 2019, que « la communauté internationale [ait] fait un pas significatif vers la résolution des défis fiscaux soulevés par la numérisation de l’économie » (14). Il reste qu’il a fallu cinq ans
à l’organisation internationale pour produire un rapport qui n’est que la première étape de longues discussions. A titre de comparaison, dans l’intervalle, Amazon a plus que doublé son chiffre d’affaires entre 2014 et 2018 (15).

Organisations internationales : impéritie ?
L’Afrique n’est pas en reste : si la téléphonie et le paiement mobile sont largement diffusés, l’économie numérique africaine n’en est qu’à son émergence, et c’est un euphémisme de dire que les GAFAM sont jusqu’à présent peu sensibles aux interpellations des autorités africaines. L’exiguïté des marchés domestiques nationaux du Continent rend d’autant plus urgente une intervention panafricaine. L’Union africaine (UA) vient de lancer un forum de discussion avec l’UE en matière d’économie numérique afin de trouver des solutions communes (16). L’alliance Smart Africa
– qui comprend neuf Etats membres et qui est présidée par Paul Kagamé (17) – promeut une plus grande souveraineté numérique via l’investissement dans les infrastructures et la gouvernance numérique panafricaine.
Toujours est-il que le temps d’élaboration de propositions internationales apparaît d’une longueur en décalage avec la vitesse à laquelle les géants de l’Internet acquièrent de nouvelles parts de marché dans tous les domaines de l’économie. La compétence des organismes internationaux, UA ou OCDE, reste pour l’essentiel au stade de l’aimable recommandation. Ils ne porteront pas d’effet avant de faire l’objet de mise en oeuvre
au sein du droit positif de chaque pays. A la suite de ce long cheminement qui aura consacré l’impéritie des organisations communautaires et internationales, il semble que l’on voit sous un jour plus favorable aujourd’hui la pertinence d’interventions étatiques dans la régulation du Net.
Face à l’urgence soulevée par l’économie numérique, la souveraineté nationale fait l’objet d’un retour en grâce.
• Levier n°1 : le droit national fiscal
Face à un projet européen de taxe sur les services numériques en difficulté, la France
a déclaré vouloir prélever sa propre taxe sur les GAFAM dès le 1er janvier 2019. Un projet de loi sera voté cette année, avec un effet rétroactif pour l’année 2019 (18). L’Espagne a voté un impôt de 3 % sur la publicité  en ligne, les plateformes et la revente de données personnelles dans le cadre de son budget pour 2019 ; la Grande-Bretagne s’apprête à adopter une taxe de 2 % sur le chiffre d’affaires des géants du numérique ; l’Italie a voté un prélèvement de 3 % sur les transactions digitales entre entreprises ; l’Autriche devrait suivre. Le sujet est également à l’ordre du jour en Inde
et à Singapour.
• Levier n°2 : Le droit national de la concurrence Faut-t-il encore considérer que le
e-commerce est un marché différent du commerce physique et que les acteurs de ces deux mondes ne sont pas concurrents ? Avec sa décision Fnac-Darty (19), il semble que l’Autorité de la concurrence considère désormais comme appartenant au même marché pertinent les ventes en ligne et les ventes en magasins. Dorénavant, celle-ci tend à englober les acteurs de l’ecommerce dans son analyse des marchés pertinents pour évaluer les concurrents des magasins physiques, de sorte que les deux canaux sont pleinement substituables.
• Levier n°3 : Le droit national des communications électroniques La neutralité
du Net constitue un principe fondateur d’Internet, protégé par un règlement européen
« Internet ouvert » (20) de 2015 et en France par la loi pour une « République numérique » (21) de 2016, tandis que certains parlementaires proposent même une Charte du numérique à l’occasion de la future réforme constitutionnelle. Pourtant,
ses effets peuvent être préjudiciables pour l’écosystème national et donner lieu à
des situations asymétriques au profit des géants du numérique, au détriment des opérateurs investissant en infrastructures.
Si le nouveau code européen des communications électroniques (22) tend à inclure
ces nouveaux acteurs dans son champ d’application, le régime des Over-The-Top (OTT) reste moins contraignant que celui des opérateurs télécoms classiques (23). Surtout, la généralisation de la vidéo et la multiplication d’applications gourmandes
en capacités augmentent le besoin en débit. Or, une participation des GAFAM aux investissements considérables dans la fibre ou la 5G n’est manifestement pas à l’ordre du jour. Totem fragile, le principe de neutralité du Net commence à être révisé, y compris aux Etats Unis, au nom de l’investissement et de l’innovation (24).
• Levier n°4 : Le droit national de l’audiovisuel
Force est de constater que les acteurs OTT, qui fournissent des services audiovisuels en accès direct sur Internet, ne sont pas soumis aux mêmes règles de diffusion que
les éditeurs de services hertziens. L’adoption en novembre dernier de la révision de la directive européenne SMA (25) devrait permettre d’étendre le champ d’application de
la régulation audiovisuelle aux plateformes et aux réseaux sociaux. Audiovisuel : deux poids, deux mesures Toutefois, certaines obligations – telles que l’obligation de pluralisme, de diversité culturelle et de visibilité des contenus d’intérêt général – n’ont pas été mises à la charge des plateformes de partage vidéo, alors même qu’elles proposent des contenus reçus sur les mêmes terminaux que les acteurs classiques. Aussi, c’est une des fiertés du président sortant du CSA, Olivier Schrameck (26), de penser avoir obtenu que la future loi sur l’audiovisuel confère au CSA une compétence sur la régulation des médias numériques. @

Blocage du site «Democratieparticipative.biz»:des obligations à la charge des FAI mais… sans les coûts

Contrairement au jugement de l’affaire « Allostreaming » de 2013, où les fournisseurs d’accès à Internet (FAI) avaient dû prendre leur charge les coûts
de blocage (ce qui fut confirmé en cassation en 2017 (1)), le jugement
« Democratieparticipative.biz », lui, les en dispense en raison de l’intérêt général.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

Dans un jugement du 27 novembre 2018 (2), le Tribunal de grande instance de Paris a ordonné à neuf fournisseurs d’accès à Internet (FAI) de bloquer, de manière définitive et illimitée dans le temps, l’accès
à au site Internet au nom trompeur
« Democratieparticipative.biz ». Celui-ci diffusait depuis 2016 des publications à caractère haineux.

Neuf FAI appelés à bloquer l’accès au site Internet
Cette décision est particulièrement notable en ce qu’elle illustre pleinement les obligations qui peuvent être mises à la charge des FAI, lorsque les autres acteurs
de la chaîne de responsabilités prévue par la loi « pour la confiance dans l’économie numérique » de 2004 – loi dite « LCEN » (3) – sont inaccessibles. Le site web
« Democratieparticipative.biz » diffusait très largement des « mots d’une extrême violence et qui exhortent en même temps au passage à l’acte violent contre des personnes en raison de la religion, de l’origine ou de l’orientation sexuelle des intéressés ». Le procureur de la République de Paris a ainsi – après notamment une question d’une députée en juillet 2018 auprès du gouvernement (4)– assigné en référé les neuf principaux FAI français (SFR, SFR Fibre, Orange, Free, Bouygues Télécom, Outremer Telecom, la Société réunionnaise du radiotéléphone/SRR, Orange Caraïbe
et Colt Technologie Service) pour qu’il leur soit enjoint de prendre toutes les mesures nécessaires pour bloquer définitivement l’accès au site « Democratieparticipative.biz » depuis le territoire français. Le procureur de la République de Paris demandait également que ces mesures soient ordonnées sous astreinte de dix mille euros par
jour de retard et dans un délai de quinze jours maximum à compter de la décision à intervenir.
Comme le rappelle avec précision la décision du Tribunal de grande instance de Paris, le procureur de la République de Paris s’est tourné vers les FAI faute d’avoir pu identifier ni les auteurs des publications, ni l’éditeur ou l’hébergeur du site Internet litigieux. En effet, la LCEN instaure un régime dit de « responsabilité en cascade » qui autorise les autorités judiciaires à ordonner aux FAI des mesures de blocage, mais à condition que l’éditeur ou, à défaut, l’hébergeur du site en question ne soient pas identifiables (5). En l’espèce, malgré plusieurs plaintes déposées par des personnes physiques identifiées dans les publications à caractère haineux, le profil anonyme de leurs auteurs n’a pas pu être levé. De même, les mentions légales du site « Democratieparticipative.biz », telles que requises par la LCEN, ne permettaient pas d’identifier son directeur de publication ou son hébergeur : les différentes investigations menées ont conduit à des sociétés américaines qui n’ont pas répondu aux réquisitions judiciaires qui leur ont été adressées. Au regard des nombreux procès-verbaux versés par le procureur de la République de Paris justifiant de l’ensemble des démarches entreprises, le Tribunal de grande instance de Paris a jugé l’action à l’encontre des neuf FAI recevable compte tenu de « l’impossibilité d’agir efficacement et rapidement contre l’hébergeur, de même que contre l’éditeur ou l’auteur du contenu litigieux » (6).
L’action à l’encontre des FAI s’est ainsi révélée particulièrement efficace pour atteindre un site Internet dont les auteurs, éditeurs et hébergeurs étaient inaccessibles ou non-identifiables. La mesure de blocage prononcée par le Tribunal de grande instance de Paris doit être notée, en particulier en raison de son caractère définitif et parce qu’elle vise les principaux FAI français. Rappelons que les fournisseurs d’accès à Internet sont considérés comme de simples « transporteurs », au titre des dispositions de la LCEN qui avait fidèlement transposé la directive européenne « Commerce électronique » de 2000 (7). Ce qui justifie que les FAI n’aient pas d’obligation généralisée de surveillance des contenus qui transitent par leurs services.

Trouble illicite de l’ordre public
La LCEN prévoit que « l’autorité judiciaire peut prescrire en référé ou sur requête, [à l’hébergeur] ou, à défaut, [au fournisseur d’accès à Internet], toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne » (8). Sur la base de ces dispositions, le blocage de l’accès à un site Internet est ainsi l’une des mesures qui peut être requise auprès de son hébergeur et à défaut des fournisseurs d’accès à Internet, notamment lorsque l’ordre public est menacé. Dans le présent cas, le Tribunal de grande instance de Paris a pris soin de lister les diverses publications constitutives d’infractions établissant clairement l’existence d’un trouble manifestement illicite de l’ordre public : injures à caractère racial, provocation à la haine et à la violence envers un groupe de personnes à raison de son origine ou de sa religion, provocation à la haine et à la violence envers un groupe de personnes à raison du sexe ou de l’orientation sexuelle, injure publique à raison de l’orientation sexuelle ou encore apologie de crimes contre l’humanité.

Bloquer l’accès, faute d’arrêter le site
La gravité de ces faits a ainsi pleinement justifié la nécessité d’intervenir à l’égard des FAI. Plusieurs des associations (Licra, Crif, SOS Racisme, MRAP, UEJF, AIPJ, LDH, SOS Homophobie, …) sont intervenues volontairement à l’action du procureur de la République de Paris au vu de la nature des contenus haineux diffusés sur le site
« Democratieparticipative.biz ». Elles avaient étendu les demandes initialement formulées dans l’assignation délivrée aux FAI. Certaines parties avaient notamment requis, en application de la loi du 29 juillet 1881 sur la liberté de la presse telle que récemment modifiée en 2017 (9), que les FAI procèdent non pas au « blocage » du site litigieux mais à son « arrêt ». En effet, l’article 50-1 de la loi du 29 juillet 1881 sur la liberté de la presse prévoit désormais que « lorsque les faits visés (…) résultent de messages ou informations mis à disposition du public par un service de communication au public en ligne et qu’ils constituent un trouble manifestement illicite, l’arrêt de ce service peut être prononcé par le juge des référés, à la demande du ministère public
et de toute personne physique ou morale ayant intérêt à agir » (10).
Néanmoins, le Tribunal de grande instance de Paris a relevé, à juste titre, que seul l’hébergeur du site Internet aurait été à même d’arrêter ce service et que les FAI n’étaient pas en mesure de supprimer définitivement le site Internet, mais simplement d’en assurer le blocage depuis le territoire français. Le Tribunal de grande instance
de Paris a ainsi considéré que la mesure de blocage était « totalement adaptée et proportionnée » et a fait « injonction aux sociétés fournisseurs d’accès de procéder
au blocage d’accès du site litigieux » étant précisé que celles-ci « sont libres de choisir la mesure technique la plus adaptée et la plus efficace » (11). L’analyse des modalités de la mesure de blocage telle que prononcée par le Tribunal de grande instance de Paris permet d’en apprécier le caractère « proportionné et adapté » et mérite d’être soulevée. En effet, la mesure imposée aux FAI est illimitée dans le temps, ce qui est particulièrement notable. Les sociétés mises en cause avaient demandé que celle-ci soit limitée à une durée de douze mois. Néanmoins, la juridiction a suivi les demandes formulées par le procureur de la République de Paris, en considérant que cela « relève du principe de proportionnalité au vu de la gravité des propos relevés ». Cet aspect volontairement contraignant de la décision est renforcé par le fait que le blocage doit viser non seulement le site « Democratieparticipative.biz », mais également « tout site comportant le nom democratieparticipative. biz ».
Néanmoins, à la demande de la société Free, le Tribunal de grande instance de Paris
a mis le coût des mesures de blocage à la charge du procureur de la République de Paris. En effet, le Tribunal de grande instance de Paris a jugé que la LCEN ne consacre pas de mécanisme d’indemnisation et que, au nom du principe d’égalité devant les charges publiques, il n’est pas autorisé de faire supporter aux FAI le coût de la mesure de blocage, puisqu’ils ne sont pas responsables du contenu du site litigieux. Ce point semble justifié, dans la mesure où, contrairement à des arrêts rendus en matière de propriété intellectuelle (12) qui visaient la défense d’intérêts privés – tels que la protection des droits des auteurs dans l’affaire « Allostreaming » (13) de 2013 –, la décision du Tribunal de grande instance de Paris repose sur la protection de l’intérêt général. Par conséquent, les FAI pourront demander le remboursement des coûts afférents aux mesures de blocage sur présentation des factures correspondantes au procureur de la République de Paris.
Enfin, l’autorité judiciaire n’a pas prononcé la mesure d’astreinte requise par le procureur de la République de Paris en considérant notamment que les FAI ne tirent
« aucun profit de l’exploitation du site litigieux », ce qui renforce la volonté apparente
du tribunal d’inscrire cette décision dans une perspective de « coopération » avec ces acteurs et non de pure sanction.

Depuis l’affaire « Allostreaming » de 2013
La décision du Tribunal de grande instance de Paris illustre ainsi pleinement les mécanismes d’action disponibles à l’égard des FAI, qui se révèlent être des palliatifs efficaces aux difficultés récurrentes d’identification des auteurs et autres intermédiaires techniques. Cela pourrait être, depuis l’affaire « Allostreaming » jugé en 2013, une nouvelle source d’inspiration pour, notamment, les acteurs de l’industrie culturelle luttant contre les contenus contrefaisants. @

La révolution numérique n’a pas fini de nous obliger à réinventer le monde, mais il faut faire vite

La nouvelle année est généralement propice pour la prise de bonnes résolutions. En adoptant une démarche tant optimiste qu’ambitieuse, et en prenant conscience des effets pervers de la révolution numérique, on ne peut que conclure qu’il devient urgent de réinventer le monde au profit de tous.

Fabrice Lorvo*, avocat associé, FTPA.

Réinventer le monde est une obligation car la situation devient insupportable. La révolution numérique a profondément modifié notre ancien monde en créant un nouveau type de valeur (la data) et en centralisant la relation client sur une plateforme. Cette relation directe avec le consommateur rend l’intermédiaire superflu. Les économies qui sont faites immédiatement enchantent le consommateur mais devraient aussi affoler le salarié pouvant y voir la disparition progressive de son utilité sociale.

Le digital divertit mais ne nourrit pas
Le paradoxe, c’est que le consommateur et le salarié ne sont généralement qu’un !
La révolution numérique a créé chez chacun une sorte de schizophrénie où l’ivresse du consommateur a anesthésié la vigilance du travailleur. Cependant, le principe de réalité ne peut pas indéfiniment être ignoré et il y a des réveils brutaux. Cette révolution numérique qui nous fait rêver, par la facilité qu’elle nous apporte, est source de richesse pour certains mais la majorité des autres n’en recueille finalement qu’appauvrissement et exclusion. De surcroît, cette révolution numérique porte fort mal son nom. Dans notre inconscient populaire, une révolution consiste à remplacer le dirigeant d’un palais par un autre. Tel n’a pas été le cas, car la révolution numérique a créé une nouvelle société parallèle ; elle n’a pas modifié la société ; elle s’est contentée de créer un clone virtuel. Ce clone s’est greffé sur notre société traditionnelle pour en ponctionner uniquement
le flux financier, c’est-à-dire l’argent. Notre vieux monde qui se vide de sa substance continue à supporter les charges mais les profits d’hier sont captés par le nouveau monde numérique qui ne reconnaît pas notre système de redistribution traditionnelle. En détournant les rivières, on finit par assécher la mer. Regardons la mer d’Aral dont il ne reste que trois lacs du fait du détournement des deux fleuves qui l’alimentaient, pour produire du coton en masse. Par analogie, le détournement du flux financier traditionnel de l’ancien monde en faveur du circuit numérique produit les mêmes conséquences,
les provinces commencent doucement, silencieusement à s’assécher, faute d’emplois, faute de services. Le nouveau monde numérique prospère outrageusement sous les feux de la rampe face à l’ancien monde qui meurt doucement, silencieusement dans l’arrière-boutique. La richesse se fait de plus en plus rare dans l’ancien monde et le numérique, s’il divertit, ne nourrit pas. On peut certes considérer qu’il s’agit d’une période de transition, et qu’une adaptation est nécessaire puisque le numérique ne devrait pas manquer d’apporter de « nouveaux » emplois – pendant qu’il en détruit
d’« anciens ». Si l’argumentaire est intellectuellement exact, il n’en demeure pas moins qu’une ou plusieurs générations sont en train d’être sacrifiées et qu’elles ne l’entendent pas ainsi.
Parallèlement, les GAFAM (1) devraient avoir la sagesse d’anticiper elles-mêmes le fait qu’elles vont prochainement se retrouver sur une montagne d’or entourée d’un champ de ruines. Les profits immédiats sont parfois porteurs des faillites de demain. Depuis Ésope ou la Fontaine, on sait pourtant que « combien en a-t-on vus  qui du soir au matin sont pauvres devenus pour vouloir trop tôt être riches ? » car  « l’avarice perd tout en voulant tout gagner » (2). Les GAFAM devraient prendre conscience que le développement durable s’applique aussi vis-à-vis de leurs consommateurs car ils deviennent, sous le nom de « travailleur », une espèce en voie de disparition qu’il convient urgemment de protéger. Si les GAFAM n’ont pas la sagesse d’anticiper elles-mêmes cette (r)évolution, il est possible que certains le fassent pour elles mais de manière plus brutale. Le mouvement des Gilets jaunes en est une première illustration. Notons que ce mouvement est la conséquence directe de la révolution numérique,
et ce pour plusieurs raisons. Il est le résultat du besoin de satisfaction immédiate, du narcissisme numérique, de l’illusion que peuvent donner  les réseaux sociaux mais aussi et surtout de l’agonie progressive de l’ancien monde.

Redistribution sociale des richesses
La première revendication des Gilets jaunes a été d’exiger de l’Etat qu’il cesse de prélever des impôts dès lors que beaucoup de citoyens n’avaient plus les moyens
de les payer et qu’ils ne bénéficiaient plus d’une redistribution sociale. Il n’est pas surprenant que ce cri est lancé et adressé à l’Etat et à ses représentants. Dans l’imaginaire populaire, celui qui tient les cordons de la bourse, c’est le Président.
En 1963, les mineurs en grève défilaient en réclamant « Charlot, des sous » (3). Aujourd’hui, celui qui tient l’argent, ce n’est plus l’Etat, ce sont notamment les GAFAM. Nul n’est besoin d’être un grand économiste pour savoir que lorsque les recettes diminuent et qu’il n’est plus possible de faire du déficit, il ne reste plus à l’Etat qu’à réduire les prestations.

Un « message jaune » aux GAFAM
Pourquoi l’Etat n’a-t-il plus d’argent ? Parce qu’il continue à supporter les charges communes (celles des services publics), alors que ses ressources diminuent drastiquement. En effet, au-delà des politiques volontaristes de baisse d’impôts
(y compris pour les hauts revenus ou les grandes fortunes), des outils d’optimisation fiscale (parfois à la limite de l’évasion), ou encore de la baisse du pouvoir d’achat de la population (et notamment de la TVA pour le budget de l’Etat), les recettes disparaissent progressivement du vieux monde en faveur du nouveau et notamment des GAFAM, lesquels, du fait tant de la dématérialisation que de la mondialisation, profitent des consommateurs sur le marché français sans y payer tous leurs impôts. Les GAFAM n’écoutant plus les Etats mais uniquement les consommateurs, ne conviendrait-il
pas déjà que chaque internaute adresse un « message jaune » aux GAFAM en leur demandant de jouer le jeu et de payer – sur tous leurs revenus – leurs impôts à taux plein (et pas une obole) dans le pays dans lequel ils exercent leur activité ?
Cependant, réinventer le monde n’est pas sans obstacle. Une des pistes serait de réinventer les règles de partage au sein de l’ancien comme du nouveau monde.
• S’agissant de l’entreprise, le modèle social du vieux monde n’apportant plus la prospérité d’antan, les pratiques passées de répartition de la valeur (privilégiant la rémunération du capital au détriment de celle du travail) ou les pratiques nouvelles imposées par la crise économique (invitant les salariés à faire des sacrifices importants sans jamais participer aux bénéfices au-delà du symbolique) deviennent socialement insupportables.
Il faut agir en redéfinissant – lors d’une réflexion nationale (pour  « retisser l’unité nationale ») mêlant les corps intermédiaires et la société civile  – la manière dont
le partage de la valeur doit être opéré entre les entreprises et ses  « partenaires économiques » (qui vont des salariés et des fournisseurs jusqu’aux clients). Il faut réinventer un modèle basé sur la flexibilité réciproque, où seront équitablement partagés les sacrifices comme les récompenses. On ne pourra pas non plus ignorer le souhait des Français d’une meilleure justice fiscale, 77 % d’entre eux étant favorables au rétablissement de l’impôt de la solidarité sur la fortune (ISF) (4).
• S’agissant des GAFAM, la taxe sur leur chiffre d’affaires publicitaires que Bruno Le Maire veut mettre en place dès cette année – « dès le 1er janvier 2019 » (5), a assuré le ministre de l’Économie et des Finances le 18 décembre 2018 – est un bon début mais il faut approfondir la réflexion. Il est d‘abord normal, et moral, qu’une partie de l’argent collecté par les GAFAM sur le marché français soit réinjectée dans le budget
de l’Etat sous forme d’impôts. Cela permettra d’une part, de cesser de solliciter uniquement la contribution financière des victimes du numérique, et d’autre part,
de voir contribuer normalement les GAFAM au fonctionnement des services publics dont ils sont les bénéficiaires indirects. A l’image de Google France, il est probable
que les GAFAM ne se placeront pas sur le terrain perdu d’avance de l’acceptation
à l’assujettissement d’une taxe mais sur celui beaucoup plus délicat de l’assiette de l’impôt. Il conviendra d’abord d’étendre cette taxe limitée aux revenus publicitaires
à tous les chiffres d’affaires des GAFAM, et notamment la revente de données par
les commerçants en ligne, les plateformes et les éditeurs de services.
Reste ensuite la difficile question du « territoire ». On ne peut ignorer que la dématérialisation inhérente au numérique a fait voler en éclats les concepts de frontière et donc de territorialité. Or, le territoire est jusqu’à ce jour la raison de la fiscalité. L’impôt est historiquement la contrepartie de la défense du royaume par le souverain, puis de l’amélioration du territoire par la République. D’autre part, l’impôt est aussi l’expression de l’autorité de l’Etat sur tous les habitants d’un territoire. Comment concilier ce système avec la mondialisation qu’induit le numérique ? S’agissant des publicités visant la France facturée par Google en Irlande, l’assiette doit-elle inclure seulement les utilisateurs basés en France ou aussi ceux basés hors de France ? Comme le déclarait le directeur général de Google France devant l’Association des journalistes économiques et financiers (Ajef), « l’enjeu, ce n’est pas de savoir combien Google va payer, mais où Google va payer » (6). Une modification durable de l’assiette fiscale en tenant compte des particularités du numérique ne pourra se faire que dans
le cadre de négociation à l’Organisation de coopération et de développement économiques (OCDE) (7), ce qui nécessitera probablement encore quelques années
de réflexion et de discussion (8).

Partage de la valeur et répartition des richesses
Le mouvement des Gilets jaunes et la révolution numérique sont deux phénomènes historiques qui supposent de nouvelles réponses : une meilleure répartition des richesses dans le premier cas et un meilleur partage de la valeur pour le second.
Ces deux aspirations économiques ont des points de convergence que l’on ne peut plus ignorer. Et il y a maintenant urgence à les prendre en compte. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

L’éthique, mode alternatif de régulation de l’IA et vecteur de confiance dans l’innovation

Les intelligences artificielles (IA) fascinent et semblent faciliter nos vies. Pourtant, elles nourrissent aussi des craintes et de véritables questionnements quant à leur impact sur la société, voire l’humanité. L’éthique peut constituer l’un des piliers de la confiance nécessaire au développement de l’IA.

Par Mahasti Razavi, associé gérant, et Laura Ziegler, avocat senior, August Debouzy

Il existe une distinction entre des IA dites
« faibles » et des IA dites « fortes ». L’IA faible permet de reproduire, le plus fidèlement possible, à l’aide d’un programme informatique, le résultat d’un comportement spécifique prévu à l’avance, dans la majorité des cas de façon bien plus efficace et rapide que l’homme, mais sans aucune forme d’improvisation. Si elle peut simuler le raisonnement, inclure une dimension apprenante et résoudre des problèmes, ce type d’intelligence artificielle ne permet en aucun cas de reproduire les fonctions cognitives de l’intelligence humaine.

IA « faible » : source de préoccupations
Chatbots, outils de reconnaissance vocale (Assistant/Google, Cortana/Microsoft, Siri/Apple, Alexa/Amazon) ou de reconnaissance d’images, ou encore robotique : cette forme d’IA « faible » est celle qui nous accompagne dans notre vie de tous les jours.
A cette IA « faible » est opposée une « IA forte », qui serait non seulement capable
de reproduire des aptitudes à la réflexion et à l’interaction intelligente (analyse, raisonnement, actions rationnelles), mais pourrait en outre comprendre son propre fonctionnement et avoir ainsi une réelle « conscience » d’elle-même. A cette étape, l’intelligence de la machine dépasserait donc celle de l’homme dans tous les domaines, y compris dans la créativité et dans l’agilité sociale. Si l’IA forte fait l’objet d’une préoccupation légitime en termes d’éthique, il n’en demeure pas moins que l’IA
« faible » doit également nous interpeller à cet égard.
Dans ce cadre, l’éthique apparaît comme un enjeu majeur pour penser et développer une IA responsable. L’une des premières sources d’inquiétude et de questionnements se concentre autour de l’effet pervers des algorithmes et de l’IA pouvant répercuter
et surtout amplifier un certain nombre de discriminations. En effet, si l’IA permet un traitement plus efficace de la donnée et a priori plus objectif de la donnée, l’algorithme est toujours le reflet d’un système de valeurs et de choix de société, à travers son paramétrage, ou ses données d’apprentissage. Aussi, les critères sur lesquels reposent les systèmes prédictifs peuvent être à l’origine de la reproduction et/ou de l’accentuation d’inégalités, de phénomènes d’exclusions et de discrimination, généralement causés par des biais cognitifs (1). Ces biais peuvent affecter directement ou indirectement les algorithmes (dès leur conception ou parce qu’ils n’auront pas été assez entraînés) mais encore les données intégrées dans le système ou générées par celui-ci (manque de diversité des bases de données d’apprentissage, par exemple).
Un algorithme permettant le fonctionnement d’un outil de reconnaissance faciale, s’entraînant sur une base de données qui ne serait pas assez diverse, peut ainsi présenter des défaillances dans la reconnaissance de visages. Autre illustration : les biais de genre révélés par la plateforme publicitaire de Google, AdSense, par laquelle les femmes se voyaient proposer des offres d’emploi bien moins rémunérées que celles adressées aux hommes, à un niveau similaire de qualification et d’expérience. Les algorithmes de prédiction, qui présentent aussi des risques d’exclusions, peuvent permettre aux entreprises d’anticiper les comportements ou les tendances de comportement de leurs clients, et d’automatiser en grande partie certains processus
ou d’aider à la prise de décision (2). Cette automatisation et cette dynamique de personnalisation des offres et des services peuvent naturellement avoir pour effet d’exclure l’accès de certaines personnes à ces services. C’est d’ailleurs l’une des raisons pour laquelle ce sujet a été très strictement encadré par la législation applicable en matière de données à caractère personnel et renforcée avec l’entrée en application du RGPD (3).
L’effet algorithmique qui consiste à classer et à filtrer des données, analysées en grande masse, est également un sujet préoccupant : ces algorithmes apprenants analysant nos comportements auront tendance à nous proposer constamment des objets (en fonction des achats effectués et des prédictions de nos futurs besoins),
des personnes (nos amis visibles sur les réseaux sociaux), des cultures (profilage
« Netflix ») conformes à nos goûts.

Risque d’enfermement algorithmique
Cela n’aura-t-il pas pour effet de nuire à un certain pluralisme et plus généralement
à la diversité culturelle ? A l’échelle de la société, ce phénomène pourrait constituer
– notamment en matière politique – un danger pour la qualité du débat public, la diversité de l’information et plus généralement le fonctionnement de notre démocratie. Alors que l’IA investit même les rédactions journalistiques et permet de traiter un grand nombre d’informations, de rédiger automatiquement certains articles ou encore de faire de la veille d’actualité, la mise en place – dans ce cadre précis – d’une IA responsable et éthique permettant d’éviter cet enfermement algorithmique, de lutter contre les fakes news, de respecter les engagements de diversité, de pluralisme et de déontologie de l’information paraît là encore indispensable.

Equilibre entre traitement et accès
En outre, l’IA impliquant l’utilisation massive des données à des fins d’apprentissage, elle pose là encore de nombreuses interrogations sur l’équilibre entre le traitement et l’accès aux données par les acteurs de l’IA et la protection des données à caractère personnel et des droits des personnes concernées. Sans algorithme, les données sont muettes, et sans donnée, l’algorithme est aveugle. A ce sujet, les principes de
« minimisation des données », l’encadrement du profilage, de la prise de décision exclusivement automatisée et les obligations de transparence figurant dans le RGPD marquent déjà les premières bases d’une technologie souhaitée plus responsable et respectueuse des droits et libertés des individus, même si ce n’est pas sans générer
de nombreuses difficultés en pratique. Plus généralement, la recherche de ce point d’équilibre entre la nécessaire protection des libertés individuelles et le développement libéré d’une technologie utile pour l’homme nourrit l’ensemble des réflexions autour de l’IA. S’il n’existe pas aujourd’hui de cadre juridique global et déterminé permettant de prendre en compte toute la complexité de ces nouvelles technologies intelligentes, les principales problématiques juridiques en matière notamment de propriété intellectuelle, de responsabilité, de protection des données à caractère personnel peuvent être aujourd’hui tout à fait encadrées par les textes existants. Parce qu’il s’agit par nature d’une technologie en mouvement, il nous semble « urgent de ne rien faire ! » et souhaitable que l’IA s’appuie sur la régulation existante et évolue de manière progressive avec celle-ci. Les règles et les limites qui lui sont applicables peuvent être par ailleurs conçues, dans un premier temps, de manière non contraignante, telle une soft law de plus, afin d’atteindre une certaine maturité. C’est ici tout le sens de l’éthique pensée comme une méthode alternative aux régulations, permettant de déclencher les consciences individuelles et collectives, devenue outil d’accompagnement du droit. L’éthique est constituée par un ensemble de normes édictées par l’industrie auxquelles celle-ci choisit de donner une force contraignante. Le contenu de ces normes peut reprendre en partie le droit existant, mais également aller bien au-delà. C’est en ce sens que s’est positionnée la Cnil (4) dans son rapport, publié le 15 décembre 2017, sur les enjeux éthiques des algorithmes et de l’IA (5). Elle a décliné six recommandations opérationnelles dans ce domaine – plaçant l’éthique au cœur de celles-ci en insistant notamment sur la nécessité de : former à l’éthique tous les acteurs-maillons de la chaîne algorithmique, rendre les algorithmes compréhensibles, constituer une plateforme nationale d’audit des algorithmes, encourager la recherche sur l’IA éthique ; et renforcer la fonction éthique au sein des entreprises (6). L’éthique apparaît désormais comme un enjeu crucial et un outil indispensable pour sensibiliser les utilisateurs mais également ceux qui contribuent à la conception et la commercialisation de ces systèmes d’IA aux enjeux attachés à son usage. Cette prise de conscience est très présente notamment chez les professionnels du secteur privé qui ont intégré l’éthique au cœur de leurs transformations digitales (lire encadré ci-dessous).
A ce jour, le développement d’une IA éthique semble être à l’évidence porté par une régulation alternative, choisie et sectorielle, à la recherche d’une gouvernance adaptée. Elle nécessitera toutefois inévitablement une mobilisation internationale d’ampleur, ou à tout le moins européenne, pour permettre l’identification des grand enjeux de société et éviter l’émergence d’éventuelles dérives : un « shopping éthique » (7) ou encore un nouveau phénomène d’« Ethicwashing » (8). L’IA éthique pourrait au contraire constituer la clé de l’attractivité des entreprises, puis des Etats conscients de son importance pour leur leadership en matière d’innovation. @

ZOOM

Les initiatives pour une IA éthique se multiplient
De très nombreux acteurs provenant de l’industrie de la tech – mais pas uniquement – se sont saisis du sujet et ont mis en place un grand nombre d’outils, au sein même de leurs organisations, pour développer une IA éthique et de confiance (9). Microsoft ou IBM, ont adopté, par exemple, des chartes et des codes éthiques sur l’utilisation de l’IA. Google annonçait le 7 juin 2018 – en réaction à une mobilisation d’une partie de ses salariés (10)– le lancement d’une charte éthique, articulée autour de sept principes très concrets applicables à l’IA (11). Ces sociétés ont également très récemment uni leurs forces en créant le 28 septembre 2018 un partenariat dans ce domaine : « Partnership on Artificial Intelligence to Benefit People and Society » (12), afin de définir de bonnes pratiques dans ce domaine. Du côté de la justice cette fois, le comité éthique et scientifique de la justice prédictive a adopté le 19 novembre 2018 une charte éthique qui est à ce jour uniquement contraignante pour la « Legaltech Predictice » qui s’y est volontairement soumise, mais qui a vocation à terme à servir à l’ensemble des acteurs utilisant l’IA dans le monde du droit. Plus récemment encore, le 3 décembre 2018, le Conseil de l’Europe adoptait la première charte européenne relative à l’usage de l’IA dans le monde judiciaire (13). Enfin, le monde scientifique, de la recherche et de l’industrie a appelé à un développement responsable de l’IA (14) en créant vingt-trois principes fonda-mentaux d’orientation de la recherche et des applications de l’IA (15). @

Réforme audiovisuelle : plutôt qu’un toilettage des textes actuels, une remise à plat s’impose

Comment faire peau neuve de la réglementation audiovisuelle française, alors que les textes législatifs et réglementaires se sont accumulés depuis plus de
30 ans au point d’être devenus illisibles et obsolètes ? S’inspirer du « service universel » des télécoms pourrait aider à revenir à l’essentiel.

Par Winston Maxwell et Alya Bloum, avocats, Hogan Lovells

Le rapport « Bergé », publié le 4 octobre 2018 par l’Assemblée nationale (1), propose de réformer la réglementation audiovisuelle française. De nombreux sujets y sont évoqués tels que le financement de la création, la rémunération des auteurs, la lutte contre le piratage, la chronologie des médias, les restrictions de diffusion et de publicité des chaînes de télévision, l’audiovisuel public, les pouvoirs du CSA (et ceux
de l’Hadopi). Ce rapport Bergé (2) constate l’opacité et la complexité du système actuel, plaidant pour une simplification.

La régulation actuelle est dépassée
D’autres rapports envisageaient déjà de s’attaquer à ces divers chantiers (3). Dans
une récente « note stratégique » intitulée « Refonder la régulation audiovisuelle » (4),
le CSA observait ainsi que « sous sa forme actuelle, la régulation est inadaptée à un environnement numérisé et globalisé ». Et d’ajouter : « Elle est partielle, hétérogène
et rigide : ses outils ont été conçus à l’ère pré-numérique, pour un marché fermé, de dimension nationale, et se sont largement fondés sur l’assujettissement des radios et télévisions à des obligations en échange de l’attribution des fréquences hertziennes ». En 2014, la Cour des comptes constatait, quant à elle, que la production audiovisuelle bénéficiait « d’un système de soutien sans équivalent en Europe, pour des performances décevantes » sans « rapport avec les montants investis », ce qui témoignait d’« une efficacité économique incertaine » (5). Dans ses propositions de réforme, le rapport Bergé met en avant un triptyque de mesures visant à : assouplir les règles qui entravent la croissance des acteurs français pour leur permettre de jouer à armes égales avec leurs concurrents mondiaux ; étendre la réglementation actuelle pour réduire l’asymétrie règlementaire entre les différents acteurs ; simplifier un droit qui est devenu difficilement lisible. Le souci de simplification de la loi avait déjà été soulevé par le CSA. En effet, le régulateur de l’audiovisuel avait observé que « modifiée plus de quatre-vingts fois en trente ans, la loi du 30 septembre 1986, peu lisible et incertaine dans son application, est devenue source d’insécurité juridique et économique pour
les opérateurs ». Donc, « elle nécessite une révision d’ensemble » (6). En effet, les obligations applicables aux différents opérateurs (chaînes de télévision, salles de cinéma, producteurs de films, distributeurs, éditeurs de DVD/VOD, radio, etc.) sont éparpillées dans une multitude de textes de différente nature : la loi du 30 septembre 1986, ses nombreux décrets d’application et leurs modifications, le code du cinéma et de l’image animée, le code de la propriété intellectuelle, le code général des impôts (où des taux de TVA différents sont actuellement appliqués), les accords professionnels, les conventions avec le CSA, … Le système de l’audiovisuel français est si complexe que seuls les spécialistes de la matière le maîtrisent, rendant les conditions d’accès au marché difficile pour les acteurs ne faisant pas partie de l’écosystème existant. Pourtant l’accessibilité et l’intelligibilité de la loi sont des objectifs à valeur constitutionnelle, et nécessaires selon le Conseil d’Etat pour une régulation saine (7). Ainsi, au-delà d’une simple réforme visant à amender les textes actuels, pourrait-on envisager une remise
à plat de la réglementation audiovisuelle pour la rendre plus simple, lisible, et efficace ? Il existe certaines similitudes entre les télécommunications dans les années 1990 et l’audiovisuel de 2018 : acteurs historiques régulés, marchés nationaux protégés, bouleversements technologiques et menaces venant d’acteurs non-européens. Comme dans les télécommunications, l’audiovisuel a son propre « service universel », à savoir un noyau de services et d’infrastructures de création, de production et de distribution que l’on souhaite préserver malgré les bouleversements du marché (8).
Dans les télécoms, le service universel a été invoqué pour s’opposer à la remise à plat de la réglementation. Les opposants à la libéralisation du secteur soutenaient qu’une réforme entraînerait la perte du service universel. Le service universel était devenu le principal argument pour le maintien statu quo malgré les bouleversements technologiques et la convergence. La menace dans les télécoms venait d’opérateurs alternatifs qui, selon certains, feraient de l’écrémage opportuniste sans investir dans les infrastructures nécessaires au service universel.

Un « service universel » de l’audiovisuel ?
Au bout de dix ans de réformes, le service universel en télécommunications a été maintenu, avec un financement fondé sur la transparence, la concurrence, l’innovation et l’efficacité économique. Pas question de faire supporter aux nouveaux entrants des coûts inefficaces de l’opérateur historique ! Même si le secteur audiovisuel est plus complexe que celui des télécommunications, on pourrait tirer quelques leçons de l’expérience « service universel » en télécommunications. Première leçon : Définir précisément le périmètre des services et infrastructures à protéger. Quels sont exactement les éléments essentiels de l’écosystème audiovisuel que l’on souhaite préserver, et quelles parties de cet écosystème seraient abandonnées en l’absence
de régulation ?

Définir les éléments essentiels à préserver
En télécommunications, la législation européenne a exigé une définition précise des éléments du service universel. Il en serait de même pour l’audiovisuel :
• Qu’est-ce que l’on entend par préserver l’écosystème de la production audiovisuelle
et cinématographique française ?
• Faut-il veiller à un nombre minimum de films français produits par an ?
• Faut-il veiller à un nombre minimum de producteurs indépendants, de techniciens,
de salles de cinéma dans les villes françaises ?
• Faut-il veiller à un certain niveau de fréquentation des salles ?
• Faut-il veiller à un certain nombre de scénaristes ? On se rend compte de la difficulté. Et pourtant, sans définir des objectifs précis et mesurables de « l’exception culturelle » française, le régulateur sera dans l’incapacité d’évaluer la nécessité (9) et le coût des mesures de régulation. Sans une vision détaillée des éléments de l’écosystème que l’on cherche à préserver, on retombera facilement sur un dialogue alarmiste où chaque changement, aussi minime soit-il, est perçu comme une menace pour l’écosystème dans son ensemble. C’est le problème aujourd’hui : changer un bout de la réglementation peut être perçue comme une menace pour l’exception culturelle dans son ensemble.
Deuxième leçon : Outre le besoin de définir les objectifs mesurables, il faut définir quels éléments de l’écosystème n’existeraient plus en l’absence d’une régulation. Cela nécessite la construction d’un scénario de référence où la réglementation n’existe pas. On utilise ce scénario de référence pour identifier des « défaillances du marché » qui nécessitent une intervention de l’Etat. Par exemple, dans le scénario de référence sans régulation, il n’existerait aucun accord collectif ou réglementation sur la chronologie des médias – laquelle requiert aujourd’hui qu’un film ayant fait l’objet d’une sortie nationale dans les salles de cinéma bénéficie d’abord d’une exclusivité de quatre mois en salles avant que ledit film ne puisse sortir en DVD et/ou VOD, puis sur les chaînes payantes, ensuite sur les chaînes gratuites, les plateformes SVOD et les plateformes gratuites. Est-ce qu’une forme de chronologie existerait toujours dans ce scénario « sans régulation » ? La réponse est probablement oui, car la plupart des pays n’ont aucune réglementation sur la chronologie des médias et pourtant une forme de chronologie existe chez eux – la chronologie est en effet imposée par voie contractuelle, le producteur cherchant par le contrat à maximiser les recettes du film à travers différentes fenêtres d’exploitation. Le scénario de référence pourrait révéler, d’une part, les éléments qui existeraient sans régulation ou subvention, par exemple la chronologie des médias ou la production de films commerciaux à gros budget, et, d’autre part, les éléments qui n’existeraient plus sans l’intervention de l’Etat, par exemple la production de certains types de films, ou l’exploitation de salles de cinémas dans des villes moyennes. Seule la deuxième catégorie d’éléments – les défaillances du marché –
peut faire l’objet de subventions ou de mesures de régulation équivalentes.
Troisième leçon : la simplicité et la souplesse de la régulation. Le système de régulation actuelle est complexe et rigide, alors qu’il faudrait au contraire une régulation simple
et souple pour accompagner un marché en pleine mutation numérique. De nouveaux usages et marchés émergent, de nouveaux formats de production, de nouveaux modèles commerciaux, … Une régulation détaillée et prescriptive – comme celle qui existe en France – devient vite obsolète, créant un poids inutile pour les acteurs du marché et pour la collectivité. Une manière de construire une régulation souple serait de définir dans la loi les objectifs que le législateur souhaite atteindre, et de confier à
un régulateur sectoriel – le CSA par exemple – une « boîte à outils » pour créer des régulations adaptées aux problèmes constatés. Le régulateur sectoriel serait obligé de justifier ses choix, de mesurer les résultats obtenus, et d’ajuster le tir en fonction des résultats. Une régulation expérimentale serait encouragée, ainsi que l’utilisation de mesures d’auto-régulation et de co-régulation. Le législateur reverrait la situation régulièrement pour modifier la loi si nécessaire. Une telle approche existe en télécommunications mais serait difficile à transposer en audiovisuel en raison de la dispersion de la réglementation au sein des différents textes cités plus haut. Le CSA n’aurait prise que sur les aspects de la régulation dépendant de la loi du 30 septembre 1986. Néanmoins, la réforme française de l’audiovisuel de 2019 et la directive européenne « SMA » – tout juste promulguée le 28 novembre pour être transposée par les Etat membres (10) – seront l’occasion de prendre quelques pas modestes vers une simplification et une souplesse essentielles au développement du secteur.

Contreparties du spectre en question
Comme l’a constaté le CSA (11), une grande partie des contraintes réglementaires qui pèsent actuellement sur les diffuseurs est la contrepartie de l’utilisation gratuite du spectre radioélectrique. Avant la généralisation du haut débit, ce spectre garantissait une forme d’exclusivité, un marché protégé de la concurrence, ce qui justifiait l’imposition de contreparties. Aujourd’hui, ce n’est plus le cas. Il faut donc changer d’approche, et cela passera forcément par une définition plus précise des éléments
de l’écosystème qui nécessitent un soutien, et l’instauration de règles de financement reposant sur la transparence, la proportionnalité, l’innovation et la libre concurrence. @

La publicité doit-elle être soumise au consentement quand elle est géolocalisée ?

Avec quatre mises en demeure publiées entre juin et novembre sur la géolocalisation publicitaire, la Commission nationale de l’informatique et des libertés (Cnil) « feuilletonne » sa doctrine en la matière. Or le RGPD européen n’exige pas toujours le consentement préalable des utilisateurs.

Etienne Drouard, avocat associé, et Lucile Rolinet, juriste, cabinet K&L Gates

La Cnil a d’abord publié deux mises en demeure à l’encontre des sociétés Fidzup et Teemo pour défaut de recueil du consentement à la collecte et au traitement de données de géolocalisation à des fins publicitaires. Dès le 3 octobre cependant,
elle mettait fin à la mise en demeure de la société Teemo (1) en décrivant précisément les mesures nouvelles prises par cette dernière pour se conformer à ses injonctions publiques (2). Sans discussion.

Réguler par les médias ou par le droit ?
Puis le 23 octobre, Singlespot (3) subissait à son tour la même mise au pilori de la part de la Cnil (4), et le 9 novembre 2018 (5), la société Vectaury était elle aussi épinglée (6) pour non recueil du consentement à la géolocalisation publicitaire. Jusqu’à présent, la Cnil publiait rarement ses mises en demeure – de quatre à quinze par an au cours des six dernières années – mais la série de publications qui s’est ouverte depuis l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) le 25 mai 2018 semble marquer une nouvelle méthode de régulation. Celle-ci repose davantage sur la vindicte médiatique que sur le débat contradictoire, pourtant essentiel à un procès équitable. Elle incarne le souhait de la Cnil de montrer l’exemple (et les dents), tout en laissant aux sociétés intimées la possibilité de se conformer dans le délai qui leur est imparti, sans encourir d’autre sanction que médiatique. Il faut dire qu’une simple mise en demeure suffit pour la Cnil obtienne tout ce qu’elle désire…,
tant le niveau des amendes que peut désormais prononcer la Cnil depuis la date d’entrée en application du RGPD est effrayant (jusqu’à 4 % du chiffre d’affaires mondial consolidé). Au risque d’ancrer une doctrine sans le moindre débat juridique et avec
des raisonnements discutables sur le fond. Discutons-en, donc.
• A chaque finalité son consentement ? La Cnil menace de sanctionner l’absence de consentement des personnes concernées au traitement de leurs données personnelles pour recevoir de la publicité ciblée sur leur téléphone mobile. Pour ce faire, elle se fonde sur un élément de doctrine non expliqué, qui pourrait se résumer à la formule très simple – et très fausse : « Une finalité, un consentement ». Selon cette doctrine, toute personne ayant consenti à la géolocalisation devrait par ailleurs avoir la possibilité de consentir – ou de ne pas consentir – séparément et pour chaque finalité distincte, à chacune des utilisations de sa géolocalisation : contractuelle, publicitaire, etc.
La définition du consentement stabilisée par la directive européenne « Protection des données personnelles » de 1995 (95/46) n’a pas été modifiée par les quatre années d’élaboration du RGPD. Le consentement se définit comme toute manifestation de volonté univoque, libre, explicite, informée et spécifique, par laquelle une personne concernée peut accepter par une déclaration ou un acte positif clair le traitement de ses données personnelles (7), notamment le premier d’entre eux : la collecte de données. Selon les récentes lignes directrices des régulateurs européens (8) (*) (**) (***) (****),
le consentement est absolument discrétionnaire. Lorsqu’il est requis, il doit être spécifique à chaque finalité. Il ne peut être soumis à aucune condition, avantage ou détriment. Il est rétractable à l’envi ; il est d’une durée de validité limitée et il doit être renouvelé. Il est indépendant de l’accès à un service, quel que soit le modèle économique en jeu. Ainsi, lorsque le consentement est requis, le traitement d’une donnée est interdit tant qu’un consentement valable n’a pas été exprimé sur la base d’une information complète fournie aux personnes, dénuée de toute manipulation ou omission susceptible de les influencer dans leur libre choix.

Des cookies à la géolocalisation publicitaire
Le consentement est donc un régime d’interdiction a priori, qui déplace l’action de réguler sur les personnes. Ce véritable « droit au caprice », qui place la volonté libre
de l’individu au-dessus de toute autre considération, ne peut constituer le fondement d’aucun service (le consentement se distingue de l’adhésion à un contrat) ni d’aucun modèle économique. En effet, quelqu’un a-t-il déjà donné pareil consentement à l’usage publicitaire de la géolocalisation, sans contrepartie, à un tiers qui ne lui promet rien ? Créé en France en 1978 pour interdire le traitement des données sensibles relatives aux opinions politiques, philosophiques, religieuses ou syndicales, ce consentement-là, absolu et sanctifié, n’a jamais été « lâché seul » dans la sphère économique sans coexister avec des alternatives tout autant protectrices de l’individu (et malgré lui) et économiquement compatibles.
• Géolocalisation, consentement et information. Le consentement à la collecte de données de géolocalisation est exigé par la directive européenne « ePrivacy » (9) de 2002 (2002/58), transposée en droit français dans le code des postes et des télécommunications électroniques (10). Il est d’une nature similaire à l’exigence du consentement à la collecte des données sensibles (11) ou du consentement au dépôt ou à la lecture de « cookies » ou de traceurs en ligne (12).

Des raccourcis trompeurs et dangereux ?
La Cnil a mis en demeure les entreprises concernées au motif du défaut d’information préalable relatif à l’usage des données de géolocalisation à des fins publicitaires. Cette information est requise, quelle que soit la base légale sur laquelle repose la ou les finalité(s) de collecte ou d’utilisation des données. Elle peut, juridiquement, être concomitante à la collecte de la donnée de géolocalisation, mais elle doit en tout état
de cause être préalable à l’usage publicitaire d’une donnée de géolocalisation (13).
Le RGPD n’exige pas toujours le consentement ; il exige une base légale. C’est la faculté de collecter la donnée – de géolocalisation, ou sensible ou de l’identifiant d’un terminal – qui est soumise au consentement et non pas l’usage ultérieur qui sera fait
de cette donnée. Cet usage ultérieur peut être justifié par une nécessité technique, servicielle ou contractuelle, ou une faculté publicitaire ou une obligation légale. Cet usage ultérieur doit donc faire l’objet d’une information des personnes – dans tous les cas. Toutefois, chacun de ces usages postérieurs n’est pas forcément soumis au consentement des personnes. Tout dépendra de la base légale qui fonde chacun de ces usages ultérieurs. En effet, la règle posée par le RGPD n’est pas « une finalité =
un consentement », mais « une finalité = une base légale ». Or, le consentement n’est qu’une des six bases légales retenues par le RGPD et il n’a pas de rang prioritaire sur les autres. Tout dépend de la finalité d’utilisation concernée. La Cnil ne justifie pas en quoi l’utilisation publicitaire des données de géolocalisation collectées avec le consentement des personnes (14), serait-elle-même soumise à un consentement spécifique. En effet, lorsque la finalité d’utilisation d’une donnée est une géolocalisation servicielle, c’est-à-dire strictement nécessaire à la fourniture d’un service ou souscrit par la personne, le consentement discrétionnaire des personnes s’effacera au profit
de la nécessité pour l’entreprise d’exécuter un contrat d’adhésion souscrit par les personnes et qui implique l’utilisation « servicielle » – contractuelle – de la donnée de géolocalisation (15). Tel est le cas pour l’utilisateur d’une application de cartographie routière de type Waze, Plans, Mappy ou Google Maps. Lorsque la collecte des données de géolocalisation est nécessaire à la sauvegarde de la vie humaine (16), le consentement sera écarté et l’utilisation d’une donnée de géolocalisation par les services d’urgence (Police Secours, SAMU, Pompiers) leur permet d’obtenir des opérateurs télécoms la géolocalisation de l’appel d’une personne en détresse. Enfin, lorsque la géolocalisation est nécessaire à l’exécution d’une mission de service public, telle la collecte des points et horaires d’entrée et de sortie d’une section d’autoroute à péage, l’absence du recueil du consentement, matériellement impossible, n’empêchera pas les sociétés d’exploitation d’autoroute de recueillir les données de géolocalisation de leurs usagers.
Concernant la géolocalisation destinée à déclencher l’affichage publicitaire sur mobile, la base légale ne pourra être que l’intérêt légitime prévu par le RGPD et explicitement décrit à son considérant 47. D’ailleurs, quel utilisateur averti serait-il assez « original » pour désirer librement et sans la moindre incitation faire l’objet de publicités géociblées ? Si l’usage publicitaire d’une donnée n’est possible qu’à l’égard des personnes qui y consentent librement, cela signifie en droit et en pratique que l’usage publicitaire est interdit a priori par le RGPD. Or, c’est tout le contraire qui a été arbitré dans le RGPD, malgré la réticence à cet égard des régulateurs nationaux tels que la Cnil. En effet,
le RGPD requiert la démonstration d’un équilibre entre les garanties offertes aux personnes en contrepartie de l’intérêt commercial pour l’entreprise exploitant les données (17). La personne ayant téléchargé une application et ayant expressément consenti à la collecte de ses données de géolocalisation, doit être informée que ses données peuvent être utilisées à des fins de publicité et elle doit pouvoir… s’y opposer, dès lors que cette faculté d’opposition lui est offerte aisément et à tout moment.

Le RGPD n’est pas un texte « à la carte »
Il serait dangereux que le RGPD devienne un texte « à la carte » pour les régulateurs.
Il ne l’est pas pour les justiciables. Ne rompons pas la belle promesse de sécurité juridique et d’harmonisation européenne que l’Union européenne brandit à la face du monde avec le RGPD. Si nous ne tenions pas cette promesse, nous en serions, nous Européens, les principales victimes. @