A quoi sert le Conseil national du numérique (CNNum) et surtout est-il vraiment indépendant du pouvoir ?

Douter de l’indépendance du CNNum peut paraître incongru, sept ans après que cette « commission administrative à caractère consultatif » ait été créée, mais la question mérite d’être posée tant sa proximité avec le chef de l’Etat et le « ministre chargé de l’économie numérique » est avérée, jusque dans son fonctionnement et son financement.

(Le 19 décembre, soit le lendemain de la parution de notre article resté en l’état, Marie Ekeland a annoncé sa démission de la présidence du CNNum. A la suite de quoi, plus des deux-tiers des autres membres ont à leur tour « collectivement » démissionné)

Nouvelle présidente, nouveaux membres, nouveaux locaux, nouvelles ambitions, nouvelles missions, … Le Conseil national du numérique (CNNum), dont l’idée fut formulée il y aura dix l’an prochain avant d’être concrétisée en 2011 par Nicolas Sarkozy (alors président de la République), fait une nouvelle fois peau neuve. Contrairement à ses prédécesseurs – Gilles Babinet (2011- 2012), Benoît Thieulin (2013- 2015) et Mounir Mahjoubi (2016-janvier 2017) – qui furent nommés « par décret du président de la République », Marie Ekeland (photo de gauche) l’a cette fois été « par arrêté du Premier ministre ».
Il en va de même des vingt-neuf autres membres qui composent cette « commission administrative à caractère consultatif » (1). Cette manière de changer son fusil d’épaule n’est-il pas pour éviter que l’ombre du chef de l’Etat Emmanuel Macron (photo de droite), précédemment ministre de l’Economie, de l’Industrie et du Numérique (août 2014-août 2016), ne plane de trop au-dessus du nouveau CNNum ?

La double tutelle d’un CNNum bien encadré
C’est en tout cas ce qu’a demandé Edition Multimédi@ à Mounir Mahjoubi, secrétaire d’Etat auprès du Premier ministre en charge du Numérique, lors de la présentation du nouveau CNNum, le 11 décembre dernier. « Vous allez trop loin… », nous a aimablement répondu celui qui fut le prédécesseur de Marie Ekeland à la présidence de cette commission. Dans cette « transformation dans la continuité », les trente membres – dont fait partie la présidente – restent nommés « sur proposition du ministre chargé de l’économie numérique », en l’occurrence aujourd’hui Mounir Mahjoubi.
Ce dernier a tenu à préciser que ce n’était plus dorénavant le président de la République qui les nommait : « Historiquement, les membres du CNNum étaient nommés par le président de la République car on pensait que le gouvernement ne pouvait pas s’occuper du sujet [le numérique, ndlr] tout seul. Or, dans les compétences constitutionnelles, ce n’est pas dans le rôle du chef de l’Etat. C’est au gouvernement Lire la suite

Fiducial Médias de Christian Latouche (Sud Radio, Lyon Capitale, TV, …) se développe au niveau national

En plus des groupes médias TF1, M6/RTL, Canal+, Lagardère/Europe 1, NRJ, Le Monde/L’Obs, Le Figaro, Le Parisien-Les Echos ou encore Altice (BFM, Libération/L’Express), souvent aux mains de milliardaires, il faut désormais compter avec Fiducial Médias de Christian Latouche – nouveau milliardaire et magnat potentiel aux ambitions nationales.

Par Charles de Laubier

Fiducial Médias tente de concrétiser ses ambitions nationales, à commencer dans la radio avec la station Sud Radio que le groupe a rachetée il y a quatre ans et qui vient de fermer ses studios à Labège (près de Toulouse) après avoir emménagé dans de nouveaux à Paris. Filiale du groupe d’expertise-comptable Fiducial diversifié dans les services de gestion aux entreprises, Fiducial Médias a pour PDG Didier Maïsto (photo de droite) depuis fin 2013.
Cet ancien journaliste du Figaro (1988-1993) devenu ensuite attaché parlementaire (1993-1998) de quatre députés successifs (1), puis lobbyiste, développe depuis quatre ans une stratégie plurimédia et multimédia bien au-delà de Lyon d’où s’est lancé dans la presse la maison mère il y a près de dix ans. C’est en fait Christian Latouche (photo de gauche), le très discret fondateur du groupe de gestion spécialisé dans les TPE/PME, Fiducial (ex-Sofinarex), qui s’est épris de médias : ce Bordelais a jeté son dévolu sur Lyon Capitale en le rachetant en 2008.

Lyon Capitale, pionnier sur le Web. Sud Radio, pionnière de la RNT
Cet hebdomadaire devenu mensuel fut, avec son site web Lyoncapitale.fr dès 1995, l’un des pionniers de la presse française sur Internet avec Libération et Les Dernières Nouvelles d’Alsace. Puis, Christian Latouche s’est emparé en 2010 de la télévision locale privée Lyon TV qu’il a rebaptisée dans la foulée Lyon Capitale TV. La station Sud Radio est enfin tombée dans son escarcelle en 2013, après avoir déboursé 7 millions d’euros – selon La Correspondance de la Presse à l’époque.
Contrairement aux grandes radios privées (NRJ, RTL, Europe 1, BFM/RMC), il mise sur la radio numérique terrestre. « Nous avons une ambition nationale en RNT, dont nous avons été les pionniers », indique Didier Maïsto à Edition Multimédi@. A 77 ans, son patron Christian Latouche Lire la suite

Piratage : l’Hadopi a demandé au Conseil d’Etat une « étude juridique » sur l’évolution de la réponse graduée

Au moment où la réponse graduée franchit le seuil des 2.000 dossiers transmis à la justice depuis ses débuts, elle suscite de plus en plus d’interrogations sur son avenir face aux nouvelles pratiques de piratage. L’Hadopi, cantonnée au peer-to-peer, doit-elle être amenée à infliger des amendes ?

Selon nos informations, la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi) a demandé à deux maîtres de requêtes au Conseil d’Etat – Bethânia Gaschet (photo) et Louis Dutheillet de Lamothe (1) – de lui remettre d’ici fin novembre une « évaluation juridique des diverses propositions externes de modification du mode de sanction de la réponse graduée ».
Cette étude leur est confiée à titre individuel et ne constitue donc pas une saisine pour avis du Conseil d’Etat. Il s’agit principalement à savoir si l’instauration d’une amende automatique, que les ayants droits appellent de leurs voeux, peut compléter voire remplacer l’actuelle sanction pour « négligence caractérisée » (2).

Amende, liste noire et suivi des oeuvres
« Amende administrative ou forfaitaire, chacune de ces propositions mériterait d’être bien évaluée au regard des exigences de constitutionnalité, de sa compatibilité avec le statut actuel d’autorité publique indépendante et du nécessaire équilibre entre l’effet d’exemplarité recherché et son acceptabilité pour les usagers », indique à ce propos l’Hadopi dans son dernier rapport d’activité publié en début d’année.
Mais le Conseil constitutionnel est très sourcilleux sur l’exploitation des données personnelles, dont fait partie l’adresse IP des internautes, dans la lutte contre le piratage. Les deux maîtres de requêtes au Conseil d’Etat devront dire si l’on peut remplacer l’actuelle amende pénale par une amende administrative ou forfaitaire, à 135 euros par exemple, qui serait prononcée non pas par l’autorité judiciaire mais par  Lire la suite

Après Zone-Téléchargement, légalisation du partage ?

En fait. Depuis le 6 décembre, soit une semaine après la fermeture du site Zone Téléchargement (ZT) accusé de pirater des œuvres, la rumeur s’est intensifiée sur l’arrêt imminent du non moins connu site de téléchargement « torrent » français, Cpasbien. Certains en appellent à la légalisation du partage.

En clair. C’est pas bien. Après le site web Zone- Téléchargement (ZT) fermé par la gendarmerie nationale le 28 novembre dernier, le prochain sur la liste – car lui aussi accusé par les ayants droit (Sacem (1), Alpa (2), …) de pirater des œuvres musicales ou cinématographiques – serait cette fois Cpasbien. Comme bien d’autres, ces sites de partage de warez – comprenez : des contenus numériques piratés que l’on désigne par ce surnom issu de where is (où est) et ware (marchandise) – échappent aux radars de l’Hadopi.
La réponse graduée est en effet circonscrite par la loi aux réseaux peer-to-peer (P2P). Comme ZT, après ses prédécesseurs The Pirate Bay, eMule, T411, Wawa-Mania, OMG Torrent ou encore What.cd, Cpasbien a préféré se déployer en proposant du direct download (DDL) pour accéder aux « .torrent » – ces fichiers de métadonnées contenant toutes les informations pour que les fichiers de musiques, de films, de jeux, voire de logiciels, soient téléchargeables (nom, taille, composition, adresse IP d’un serveur, …). Cpasbien, alias Torrent9, est prêt comme les autres à jouer au chat et à la souris avec des « sites miroirs ». Les deux jeunes administrateurs de ZT risquent gros.
« Ce ne sont pas Thibault et Wilfrid qui ont créé le préjudice, mais les utilisateurs », a déclaré leur avocat toulousain Simon Cohen qui en appelle à « une réponse judiciaire graduée » (3). C’est dans ce contexte de répression judiciaire contre le piratage que la question du partage sur Internet est revenue dans le débat, soit plus de deux ans après le rapport « intermédiaire » (non finalisé) de l’ex-secrétaire général de l’Hadopi, Eric Walter, sur la controversée « rémunération proportionnelle du partage » (4).
La Quadrature du Net, association de défense des droits et libertés numériques, monte au créneau pour plaider en faveur de la « légalisation du partage non-marchand [déjà préconisée par le rapport Lescure de 2013, ndlr], couplée à une redevance levée sur l’abonnement Internet des foyers, de l’ordre de 4 ou 5 euros par mois » (5). Pour l’un de ses représentants, le juriste et bibliothécaire Lionel Maurel, « les industries culturelles se battent depuis des années contre des monstres qu’elles ont elles-mêmes créés ». Licence globale, contribution compensatoire, contribution créative, redevance de partage, … Et si la campagne présidentielle pour 2017 s’emparait du débat ? @

Communication des décisions de justice : favoriser la liberté d’expression ou le droit à la vie privée ?

Il est traditionnellement acquis, en jurisprudence française, que le droit à la vie privé ne peut être interprété comme un droit susceptible de faire disparaître le droit à la liberté d’expression. Cependant, une inflexion est perceptible, Internet facilitant les risques d’atteinte à la vie privée.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Signe de l’évolution numérique, ce combat de l’équilibre entre
ces deux dro i t s fondamentaux – la liberté d’expression et le droit au respect de la vie privée – se déplace actuellement sur le terrain du droit à la protection des données à caractère personnel (facette du droit à la vie privée), contre le droit à la protection des contenus médiatiques publiés sur Internet (facette du droit à la liberté d’expression).

Arrêt « Lesechos.fr » de 2016
Tandis qu’explosent actuellement – suite à l’arrêt « Costeja » impliquant Google en Espagne (1) – les demandes de référencement qui atteignent désormais les organes
de presse en ligne, la Cour de cassation a eu l’occasion de trancher en faveur de la protection des archives de presse. Elle a ainsi rejeté, par un arrêt en date du 12 mai 2016, la demande de deux individus ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et libertés » relatif au droit d’opposition au traitement de données
à caractère personnel – la suppression d’informations identifiantes sur le moteur de recherche du site web d’un journal. Celui-ci, en l’occurrence Lesechos.fr (2), donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre plusieurs années auparavant. La Cour s’est fondée sur l’absence d’inexactitude des faits et a considéré que « le fait d’imposer à un organe de presse (…) de supprimer du site Internet dédié à l’archivage de ses articles (…) l’information elle-même contenue dans l’un de ces articles (…) privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».
Ce parti pris n’est pas nouveau en droit français. Ainsi, dans une affaire concernant la publication d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu, le tribunal de grande instance (TGI) de Paris avait déjà jugé en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime
« tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants » et qu’aucun abus de la liberté de la presse n’était établi (3). Cependant, une inflexion est perceptible, l’Internet étant devenu un moyen de rechercher et de se renseigner, facilitant les risques d’atteinte à la vie privée. Cette atteinte est réprimée par l’article 226-1 du Code pénal qui sanctionne d’une peine
d’un an d’emprisonnement et de 45.000 euros d’amende le fait de porter atteinte volontairement à l’intimité de la vie privée d’autrui en « fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé ».
S’agissant des comptes rendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès, la Commission nationale de l’informatique et des liberté (Cnil) avait déjà eu l’occasion de tirer la sonnette d’alarme concernant les risques d’atteintes à la vie privée des personnes concernées. Elle avait en effet considéré en 1995 qu’il n’est pas indispensable de diffuser les décisions en ligne, sur des sites web en accès libre, en précisant que « les aménagements aux règles de la protection des données que commande le respect de la liberté d’expression ne doivent pas avoir pour effet de dispenser les organismes de la presse écrite ou audiovisuelle, lorsqu’ils recourent à des traitements automatisés, de l’observation de certaines règles » (4).

Open data et « République numérique »
Une ordonnance du 19 décembre 2014, dans la suite de l’affaire « Google Spain »
de la même année, vient illustrer cette inflexion. Le juge avait retenu les « raisons prépondérantes et légitimes prévalant sur l e d r o i t à l ’ i n f o r m a t i o n » i n v o q u é e p a r l a demanderesse. La nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant –, et l’absence de mention de la condamnation au casier judiciaire de l’intéressée, justifiaient le déréférencement du lien renvoyant à un article de 2006 (5).
Or, le droit à l’information est en grande partie garanti par la publicité des audiences
et des décisions de justice ainsi que la libre communication des jugements. Aussi, en prévoyant que la quasi-totalité des décisions produites par les juridictions françaises devront être accessible en open data (autrement dit en accès libre), la loi « République numérique » marque l’aboutissement du processus d’ouverture des données. Cette mesure (6) s’inscrit dans la logique de la politique volontariste du gouvernement d’ouverture des données publiques (mission Etalab). Elle répond de surcroît à la préconisation de la mission d’information du Sénat (7) d’inscrire dans la loi une obligation de mise en ligne progressive de l’ensemble des bases de données détenues par l’administration.

Conciliation par anonymisation ?
La numérisation des décisions de justice et leur mise à disposition sur Internet favorise le risque de voir des bases de données se créer et vendre des données sensibles susceptibles d’intéresser certains acteurs. Par exemple, une banque pourrait très certainement ê t re i n t é ress é e p a r l a condamnation pour surendettement d’un de ses clients. Pour reprendre les mots de Claude Bourgeos, docteur en droit, « l ’ e x p l o i t a t i o n d e s b a n q u e s d e d o n n é e s jurisprudentielles [pouvait] aboutir à la constitution d’un gigantesque casier “juridique” des personnes sans qu’aucun contrôle ne puisse être exercé dessus » (8).
Aussi, consciente des risques amplifiés par les facilités de recherche sur l’Internet – rien de plus facile que de retrouver une jurisprudence donnée au moyen de critères croisés (date de la décision, articles visés, motc l é d u tex t e i n t é g r a l ) – , l a C n i l a é m i s u n e recommandation du 29 novembre 2001 (9) portant sur « la diffusion de données personnelles sur Internet par les banques de données de jurisprudence ». Les éditeurs de bases de données de décisions de justice librement accessibles sur des sites Internet doivent s’abstenir de faire faire figurer le nom et l’adresse des parties ou des témoins au procès. Cette mesure doit être prise à l’initiative du diffuseur et sans que les personnes concernées aient à accomplir de démarche particulière. Cette anonymisation ne souffre en principe aucune exception et la Cnil dispose d’un pouvoir de sanctions à l’encontre des responsables de traitement de données à caractère personnel qui ne respecteraient pas leurs obligations. On observe que l’anonymisation générale des décisions de justice publiées sur Internet est également effective dans de nombreux autres pays, notamment en Allemagne, aux Pays-Bas et au Portugal.
En faisant le bilan de cette recommandation cinq ans près (19 janvier 2006 (10)), la Cnil a pu constater que l’anonymisation était effective chez la plupart des éditeurs de bases de données, notamment sur le principal site français de bases de données de jurisprudence en accès libre, Légifrance. Cependant, la puissance des moteurs de recherche permettant d’accéder très aisément à ces décisions – il suffirait, pour un employeur, à la recherche d’un nouvel employé, de se rendre sur une base de données juridique et de taper le nom de l’intéressé –, elle a conclu à la nécessité d’adopter une disposition législative spécifique (11). Celle-ci prévoit l’anonymisation des données lorsqu’elles sont diffusées par des moyens électroniques en raison de « l’impact réel, parfois dramatique, de la diffusion de décisions nominatives sur [un site] sur les vies personnelles et professionnelles des personnes concernées ».
Depuis l’anonymisation s’est imposée très rapidement comme la règle. D’ailleurs, une décision du Conseil d’Etat du 11 mars 2015 (12) a précisé que l’anonymisation était
une règle générale qui s’applique également à la Cnil, en lui enjoignant de procéder
à l’anonymisation des mentions d’une délibération concernant un tiers à la procédure objet de cette délibération. Avec l’open data qui généralise le libre accès aux décisions de justice, le risque de la ré-identification – c’est-à-dire le risque, après anonymisation, de retrouver les noms retirés en s’intéressant aux autres éléments du texte – devient important. En effet, on peut imaginer que si une décision comporte la mention du titre de la personne concernée, par exemple « Mme X, président de la société Y », il ne sera pas très difficile de retrouver le nom de la personne concernée.

Limiter le risque de ré-identification
Aussi, le Conseil d’Etat préconise – afin de limiter le risque de réidentification – de
« faire définir par la Cnil […] des standards d’anonymisation ; constituer au sein de chaque ministère un pôle d’expertise en matière d’anonymisation, a priori au sein du service statistique ministériel ; […] lorsque le risque de réidentification ne peut être écarté, définir une procédure d’accès sur autorisation plutôt que de mettre en ligne,
en particulier lorsque sont en cause des données sensibles » (13). @

* Ancien bâtonnier du Barreau de Paris.

L’affaire « Microsoft » : la localisation des données et l’extraterritorialité en question

Le 14 juillet 2016, la cour d’appel fédérale de Manhattan aux Etats-Unis a décidé qu’un mandat de perquisition ne permettait pas aux autorités américaines d’obtenir des données stockées par Microsoft en Irlande, car un tel mandat ne peut avoir d’effets en dehors des frontières des Etats-Unis.
Quel impact en Europe ?

Par Winston Maxwell (photo), avocat associé, Hogan Lovells

winston-maxwellL’arrêt « Microsoft » a le mérite de préciser l’étendue territoriale des pouvoirs de police aux Etats-Unis et de relancer le débat sur la localisation des données. Cette affaire commence en décembre 2013 lorsqu’un magistrat ordonne à la firme de Redmond de livrer aux services du procureur de l’Etat de New York le contenu de courriers électroniques appartenant à une personne suspectée de trafic de drogues.
Microsoft a livré les métadonnées concernant le compte e-mail du suspect, mais a refusé de livrer le contenu des e-mails, car celui-ci était hébergé en Irlande. Selon Microsoft, les effets de l’ordonnance du magistrat s’arrêtaient aux frontières des Etats-Unis. En première instance, le magistrat a sanctionné Microsoft en 2014 pour avoir désobéi à son ordonnance.

Perquisitions et frontières
Après une procédure d’appel médiatisée et impliquant de nombreuses interventions volontaires, la cour d’appel fédérale a donné raison à Microsoft. La loi américaine permet à la police d’accéder au contenu d’e-mails uniquement après la délivrance par un juge d’un « mandat de perquisition » (warrant). Il s’agit du même outil juridique que celui utilisé pour la fouille d’une maison, par exemple. Selon Microsoft, un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis.
Le gouvernement américain soutenait, au contraire, qu’aucune fouille n’était nécessaire en dehors des Etats-Unis puisque Microsoft pouvait – à partir de son siège à Redmond (Etat de Washington) – récupérer les données irlandaises par un simple manœuvre technique. Pour le gouvernement américain, la localisation des données n’était pas importante dès lors que le fournisseur de service était situé aux Etats-Unis,
et il pouvait donc accéder à ces données.
La position du gouvernement américain converge avec l’article 57-1 du Code de procédure pénale en France, lequel permet à la police, sous certaines conditions, d’accéder à des données hébergées à l’étranger si un accès à ces données est autorisé en France.
La cour d’appel américaine n’a pas voulu rentrer dans la logique du gouvernement des Etats-Unis. La cour s’est focalisée avant tout sur l’intention du législateur américain. Selon l’arrêt du 16 juillet, une portée extraterritoriale ne peut découler implicitement d’une loi : il faut que la loi prévoie cette portée extraterritoriale explicitement. C’est le cas de certaines lois américaines qui visent de manière explicite des actes commis à l’étranger (actes de terrorisme, ou tourisme sexuel impliquant des mineurs, etc.). Cependant, si la loi ne dit rien sur l’extraterritorialité, la loi doit être lue comme étant limitée au territoire national. Selon la cour d’appel, seul le législateur est habilité à
gérer les questions délicates d’extraterritorialité et des relations internationales. L’extraterritorialité doit être explicite. La loi américaine sur la protection des communications électroniques est silencieuse sur la question territoriale. Pour la cour fédérale, la loi ne peut donc produire d’effets au-delà de la frontière des Etats-Unis.
Par conséquent, le gouvernement ne peut pas utiliser un mandat de perquisition pour forcer Microsoft à livrer des données hébergées en Irlande (1).
Le débat n’est pas clos pour autant, car le gouvernement américain pourrait porter cette affaire devant la Cour Suprême.

Plusieurs enseignements
La décision nous livre plusieurs enseignements. Le premier est qu’en matière d’enquêtes judiciaires, la loi américaine fournit autant de protections aux individus
que la loi française. L’intervention d’un juge est nécessaire, comme pour la fouille
d’un domicile. En matière de protection des données à caractère personnel, la loi américaine sur les enquêtes criminelles ne peut guère être considérée comme étant
« inadéquate », car elle fournit autant de garanties que la loi française.
Certes, les services de renseignement américains ne sont pas tenus, eux, d’obtenir
un mandat avant de collecter des données, y compris hors des Etats-Unis. Ce point
est reproché aux Etats-Unis dans le contexte du nouveau « Privacy Shield » (2). Cependant, aucun pays européen n’impose une telle exigence à ses agences du renseignement. En France, par exemple, les agences du renseignement peuvent collecter des données concernant des communications internationales avec la seule autorisation du Premier ministre. L’erreur serait de comparer l’encadrement des activités de renseignement aux Etats-Unis avec l’encadrement des enquêtes
judiciaires en France. Les deux ne sont pas comparables. Seule une comparaison
« renseignement- renseignement » serait pertinent.

L’extraterritorialité ne se présume pas
Le deuxième enseignement de l’affaire Microsoft concerne localisation des données. Est-ce que la localisation physique des données compte ? En juillet, la Russie a adopté une loi qui étend considérablement l’obligation de stocker des données sur le territoire russe. Un amendement au projet de loi « République numérique » adopté au Sénat aurait créé une obligation de stocker des données sur le territoire français. Cet amendement n’a pas été repris dans la version du texte adoptée en juillet 2016 (3). Certaines lois chinoises prévoient l’obligation de stocker des données sur le territoire chinois. Face aux risques de la mondialisation, certains Etats voient dans la localisation des données un moyen de réaffirmer leur souveraineté. La décision Microsoft semble confirmer que la localisation physique des données peut avoir un impact sur les pouvoirs des autorités nationales.
Mais ce n’est pas si simple. Une loi nationale peut prévoir la possibilité pour les autorités d’accéder à des données hors de son territoire s’il existe un accès dans le territoire (en France, article 57-1 Code de la procédure pénale), voire la possibilité d’intercepter des données à l’étranger (article L854-1 du Code de la Sécurité intérieure). La leçon de l’affaire Microsoft est que la loi doit être précise sur ce point,
car l’extraterritorialité ne se présume pas.
Sur la question de la localisation des données, le nouveau règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (4) est ambivalent, voire contradictoire. D’un côté, la localisation des données n’est pas importante, car tout traitement effectué dans le cadre des activités d’un établissement en Europe – ou lié à l’offre de services en Europe – est couvert par ce règlement, même si les données sont stockées en dehors de l’Europe. Le règlement précise d’ailleurs que le lieu du traitement est sans importance. De l’autre côté, le règlement impose des contraintes particulières pour tout transfert de données en dehors de l’Union européenne, ce qui du coup donne une importance à la localisation. Les prestataires de cloud expliqueront que les données sont stockées partout, et que cette architecture contribue à la sécurité, à la fiabilité, et au faible coût du service.
Mais après l’affaire « Snowden » (5), les fournisseurs de cloud mettent en avant des solutions de stockage 100 % européen, voire 100 % français. Les lois russes et chinoises vont dans le sens d’une localisation forcée des données sur le territoire,
sans parler de lois turques ou iraniennes (6). Dans le cadre de ses travaux sur le marché numérique unique, la Commission européenne dresse un inventaire sur les
cas de « localisation forcée » des données (7), et souligne la nécessité de permettre
la libre circulation des données afin de favoriser l’innovation, la croissance, et la liberté d’expression. Le débat sur la localisation des données s’accompagne d’un débat sur le chiffrement, car une donnée stockée localement n’est guère utile si elle ne peut être déchiffrée. La loi française oblige les fournisseurs de moyens de cryptologie à décrypter des messages, sauf si les prestataires « démontrent qu’ils ne sont pas en mesure de satisfaire à des réquisitions » (article L871-1 du Code de la Sécurité intérieure). Au moment où les gouvernements français et allemand plaident pour des pouvoirs accrus en matière de déchiffrement (8), la présidente de la Commission nationale de l’informatique et des libertés (Cnil) rappelle, dans une tribune qu’elle a cosignée (9), l’importance du chiffrement dans la protection des données à caractère personnel. @

ZOOM

Microsoft résiste encore et toujours à Washington
La firme de Redmond, dans l’Etat de Washington, a décidément maille à partir
avec l’administration de Washington. En effet, en avril 2016, Microsoft a porté plainte
– devant un tribunal fédéral de Seattle – contre le gouvernement américain en l’accusant de violer la Constitution des Etats-Unis en empêchant le géant américain
de l’informatique et du Net d’informer ses milliers de clients des requêtes « secrètes » de l’administration américaine – sous couvert de l’Electronic Communications Privacy Act (ECPA) – pour avoir accès à leurs e-mails et données personnelles.
Cette affaire rappelle celle de l’iPhone qu’Apple avait refusé de débloquer à la demande la police fédérale (FBI) – finalement abandonnée – à la suite de la tuerie de San Bernardino en décembre 2015. @

Réponse graduée : l’Hadopi va franchir début juin la barre des 1.000 dossiers transmis à la justice

Selon nos informations, c’est début juin que le nombre cumulé de 1.000 dossiers d’internautes transmis par l’Hadopi à la justice – car considérés comme pirates récidivistes sur Internet – sera atteint. La CPD, chargée de la réponse graduée, a une nouvelle présidente : Dominique Guirimand.

Par Charles de Laubier

Dominique GuirimandC’est un cap symbolique que va franchir l’Hadopi, au moment où son existence est plus que jamais contestée. Alors que des députés ont voté fin avril sa suppression pour… 2022, à l’occasion de la première lecture d’une proposition de loi sur le statut des autorités administratives indépendantes (1), la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet continue son travail pédagogique et juridictionnel de lutte contre le piratage en ligne. D’après nos calculs, la réponse graduée mise en place le 1er septembre 2010 va atteindre début juin le nombre total de 1.000 dossiers cumulés transmis à la justice – en l’occurrence au procureur de la République. Ce magistrat, rattaché à un tribunal de grande instance (TGI), peut décider de poursuivre l’internaute et transmettre alors son dossier au juge. Au 30 avril, dernier état en date publié par l’Hadopi (voir le graphique), le cumul depuis le tout premier d’entre eux établi en mars 2012 était de 933 dossiers transmis au juge.

Des députés parlent d’ « échec »
Le mois de mars a d’ailleurs été le deuxième mois le plus actif en nombre de délibérations de transmission au procureur de la République : 85 dossiers, soit cinq de moins que les 90 dossiers transmis en octobre dernier – le plus haut niveau mensuel à ce jour. Cette recrudescence de dossiers « judiciaires » n’est pas le fait d’un quelconque excès de zèle de l’Hadopi, mais le résultat d’une décision prise dès 2014 de sélectionner les dossiers les plus graves (internautes recourant à plusieurs logiciels peer-to-peer, récidive aggravée malgré plusieurs premières et deuxièmes recommandations, etc).
La Commission de protection des droits (CPD), dont la nouvelle présidente est Dominique Guirimand (photo), se réunit chaque semaine le mercredi. Mais, selon nos informations, elle ne se réunit que trois fois durant ce mois de mai. Résultat : c’est en juin que la barre des 1.000 dossiers transmis à la justice sera allègrement franchie. En revanche, il est un autre chiffre que l’on ne connaît pas précisément, c’est celui des Lire la suite