A quoi sert le Conseil national du numérique (CNNum) et surtout est-il vraiment indépendant du pouvoir ?

Douter de l’indépendance du CNNum peut paraître incongru, sept ans après que cette « commission administrative à caractère consultatif » ait été créée, mais la question mérite d’être posée tant sa proximité avec le chef de l’Etat et le « ministre chargé de l’économie numérique » est avérée, jusque dans son fonctionnement et son financement.

(Le 19 décembre, soit le lendemain de la parution de notre article resté en l’état, Marie Ekeland a annoncé sa démission de la présidence du CNNum. A la suite de quoi, plus des deux-tiers des autres membres ont à leur tour « collectivement » démissionné)

Nouvelle présidente, nouveaux membres, nouveaux locaux, nouvelles ambitions, nouvelles missions, … Le Conseil national du numérique (CNNum), dont l’idée fut formulée il y aura dix l’an prochain avant d’être concrétisée en 2011 par Nicolas Sarkozy (alors président de la République), fait une nouvelle fois peau neuve. Contrairement à ses prédécesseurs – Gilles Babinet (2011- 2012), Benoît Thieulin (2013- 2015) et Mounir Mahjoubi (2016-janvier 2017) – qui furent nommés « par décret du président de la République », Marie Ekeland (photo de gauche) l’a cette fois été « par arrêté du Premier ministre ».
Il en va de même des vingt-neuf autres membres qui composent cette « commission administrative à caractère consultatif » (1). Cette manière de changer son fusil d’épaule n’est-il pas pour éviter que l’ombre du chef de l’Etat Emmanuel Macron (photo de droite), précédemment ministre de l’Economie, de l’Industrie et du Numérique (août 2014-août 2016), ne plane de trop au-dessus du nouveau CNNum ?

La double tutelle d’un CNNum bien encadré
C’est en tout cas ce qu’a demandé Edition Multimédi@ à Mounir Mahjoubi, secrétaire d’Etat auprès du Premier ministre en charge du Numérique, lors de la présentation du nouveau CNNum, le 11 décembre dernier. « Vous allez trop loin… », nous a aimablement répondu celui qui fut le prédécesseur de Marie Ekeland à la présidence de cette commission. Dans cette « transformation dans la continuité », les trente membres – dont fait partie la présidente – restent nommés « sur proposition du ministre chargé de l’économie numérique », en l’occurrence aujourd’hui Mounir Mahjoubi.
Ce dernier a tenu à préciser que ce n’était plus dorénavant le président de la République qui les nommait : « Historiquement, les membres du CNNum étaient nommés par le président de la République car on pensait que le gouvernement ne pouvait pas s’occuper du sujet [le numérique, ndlr] tout seul. Or, dans les compétences constitutionnelles, ce n’est pas dans le rôle du chef de l’Etat. C’est au gouvernement Lire la suite

Extension de la protection des données en Europe : FAI et OTT à la même enseigne

Dans sa proposition de règlement « Vie privée » de janvier 2017, la Commission européenne souhaite étendre le cadre protecteur des fournisseurs d’accès à Internet (FAI) aux fournisseurs de « services de communications par contournement » (OTT), ainsi qu’à l’Internet des objets. Explications.

Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés

La Commission européenne a présenté le 10 janvier 2017 une proposition de règlement « concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE ». Cette proposition vise à remplacer la directive de 2002 (1), laquelle avait été transposée en droit français dans le code des postes et des communications électroniques et dans la loi 78-17 relative à l’informatique, aux fichiers et aux libertés (2).

Confidentialité des données
Cette directive de 2002 a établi un cadre réglementaire spécial pour la protection de la vie privée, la confidentialité et la protection des données à caractère personnel dans le secteur des communications électroniques, à côté du cadre général de la directive de 1995 sur la protection des données à caractère personnel (3). La refonte de cette directive de 2002 était annoncée tout à la fois dans la communication de la Commission européenne du 6 mai 2015 de « stratégie pour un marché numérique en Europe », dans les travaux préparatoires et le texte final du nouveau règlement général sur la protection des données personnelles (RGPD) – remplaçant la directive de 1995 – adopté le 27 avril 2016 (4) et dans la proposition de directive « établissant le code des communications électroniques européen » présentée le 14 septembre 2016. Cette refonte à travers la proposition de règlement présentée le 10 janvier dernier vise pour l’essentiel à une harmonisation avec les dispositions renforcées du RGPD et à une application élargie aux services de communications interpersonnelles, aux services
« machine à machine » et aux logiciels de navigation Internet. La proposition de règlement de janvier 2017 réaffirme et étend à l’ensemble des données de communications électroniques le principe de confidentialité et les règles attachées
de traitement, de stockage, d’effacement et d’anonymisation des données. La directive de 2002 distinguait, d’une part, les données relatives au contenu des communications et, d’autre part, les données relatives au trafic et à la localisation des communications. Le contenu des communications désigne des informations échangées ou acheminées entre un nombre fini de parties au moyen d’un service de communications électroniques accessibles au public. La proposition de règlement institue la notion de « données de communications électroniques » regroupant et distinguant, d’une part, les données de « contenu », d’autre part, l’ensemble des
« métadonnées » (lire encadré sur les définitions page suivante). Elle soumet l’ensemble des données de communications au principe de confidentialité en rappelant qu’elles peuvent comporter des données à caractère personnel. La proposition de règlement étend ce principe de confidentialité au-delà du cercle des fournisseurs d’accès à Internet (FAI) à travers une nouvelle définition de la notion de « services
de communications électroniques » (voir définitions page suivante) rompant avec l’exclusion des « services de la société de l’information » et visant expressément les services de « communications interpersonnelles » (comme les services de voix sur IP, de messagerie instantanée et de courrier électronique sur le Web) et les services de
« transmission pour la fourniture de services machine à machine ».

FAI et OTT dans le même cadre
Tenant compte des évolutions technologiques et concurrentielles, la Commission européenne entend ainsi appréhender dans la réglementation protectrice – et dans
le même cadre réglementaire que les FAI (5) – les fournisseurs de « services de communications par contournement » dits OTT (Over-The-Top) tels WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou encore Viber (6). En visant par ailleurs les services de transmission utilisés pour la fourniture de services de machine à machine (MtoM), elle entend également appréhender les données de communications électroniques générées par le développement de l’Internet des objets. La directive
de 2002 a établi un encadrement du stockage d’informations et de l’obtention des informations stockées dans les équipements terminaux, en prévoyant que ces opérations ne sont permises qu’avec le consentement de l’utilisateur ou de l’abonné. Sauf dans le cas où elles sont nécessaires à la transmission d’une communication ou à la fourniture d’un service expressément demandé par l’utilisateur ou l’abonné. Alors que la directive 2002/58 établit une distinction entre la notion
d’« utilisateur » et celle d’« abonné », la proposition de règlement de janvier 2017 n’utilise que la notion d’« utilisateur final » (personne physique ou morale).

Navigateurs web et consentement
La proposition de règlement de janvier 2017 reprend ces dispositions en ajoutant que l’utilisation ou la collecte des informations des équipements terminaux est également possible sans le consentement de l’utilisateur « si cela est nécessaire pour mesurer des résultats d’audience web ». Le règlement proposé prévoit une extension de ces dispositions aux fournisseurs d e « logiciels permettant des communications électroniques, y compris la récupération et la présentation d’informations sur Internet », dont en particulier les fournisseurs de navigateurs web, en les soumettant à l’obligation de proposer à leurs utilisateurs la possibilité d’empêcher les tiers de stocker ou de traiter des informations sur leurs équipements terminaux. La Commission européenne souligne que « les choix effectués par l’utilisateur final lorsqu’il définit les paramètres généraux de confidentialité d’un navigateur ou d’une autre application devraient être contraignants pour les tiers et leur être opposables ». La proposition de règlement prévoit de confier le contrôle de ses obligations aux autorités du RGPD. Outre la protection des données de communications électroniques et des informations des équipements terminaux, le projet de règlement concerne également le droit des utilisateurs de contrôle r l’envo i e t l a réception de leurs communications (identification de la ligne appelante, possibilité de limiter la réception des appels indésirables, existence des annuaires accessibles au public, …). Le non-respect des obligations concernant le traitement, le stockage et l’effacement des données de communications électroniques pourrait être sanctionné jusqu’à 4 % du chiffre d’affaires annuel mondial des entreprises concernées.
La Commission européenne envisage une date d’application le « 25 mai 2018 au plus tard », en même temps que l’entrée en vigueur du RGPD, et ainsi un processus rapide de discussion et d’adoption. Les prochains mois montreront si sa résolution résistera à l’opposition de Digital Europe (7) et de l’ICDP (8), qui lui reprochent une approche soi-disant précipitée et disproportionnée pour l’équilibre de l’écosystème numérique. @

ZOOM

Question de définitions selon les différents textes
La directive « Vie privée et communications électroniques » définissait :
• Le « service de communications électroniques » comme étant le service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques y compris les services de télécommunications et les services de transmission sur les réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus ; il ne comprend pas les services de la société de l’information tels que définis à l’article 1er de la directive 98/34/CE qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques.
• Les données relatives au contenu des communications électroniques comme des informations échangées ou acheminées entre un nombre fini de parties au moyen d’un service de communications électroniques accessibles au public.
• Les données relatives au trafic et à la localisation des communications électroniques comme étant respectivement toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation, et toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public.

La proposition de règlement de janvier 2017 définit, elle :
• Les données de « contenu » des communications électroniques comme étant les contenus échangés au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de document vidéo, d’images et de son.
• Les « métadonnées » des communications électroniques comme étant les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l’échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l’appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication.

La proposition de directive établissant le code des communications électroniques européen définit :
• Le « service de communications interpersonnelles » comme étant un service normalement fourni contre rémunération qui permet l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, dans lequel les personnes qui amorcent la communication ou y participent en déterminent le(s) destinataire(s) ; il ne comprend pas les services qui rendent possible une communication interpersonnelle et interactive uniquement en tant que fonction mineure accessoire intrinsèquement liée à un autre service . @

Projet de nouveau règlement sur la vie privée et la protection des données : top départ pour le lobbying

La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying

Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.

 

L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.

Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.

Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».

Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @

Charles de Laubier

L’affaire « Microsoft » : la localisation des données et l’extraterritorialité en question

Le 14 juillet 2016, la cour d’appel fédérale de Manhattan aux Etats-Unis a décidé qu’un mandat de perquisition ne permettait pas aux autorités américaines d’obtenir des données stockées par Microsoft en Irlande, car un tel mandat ne peut avoir d’effets en dehors des frontières des Etats-Unis.
Quel impact en Europe ?

Par Winston Maxwell (photo), avocat associé, Hogan Lovells

winston-maxwellL’arrêt « Microsoft » a le mérite de préciser l’étendue territoriale des pouvoirs de police aux Etats-Unis et de relancer le débat sur la localisation des données. Cette affaire commence en décembre 2013 lorsqu’un magistrat ordonne à la firme de Redmond de livrer aux services du procureur de l’Etat de New York le contenu de courriers électroniques appartenant à une personne suspectée de trafic de drogues.
Microsoft a livré les métadonnées concernant le compte e-mail du suspect, mais a refusé de livrer le contenu des e-mails, car celui-ci était hébergé en Irlande. Selon Microsoft, les effets de l’ordonnance du magistrat s’arrêtaient aux frontières des Etats-Unis. En première instance, le magistrat a sanctionné Microsoft en 2014 pour avoir désobéi à son ordonnance.

Perquisitions et frontières
Après une procédure d’appel médiatisée et impliquant de nombreuses interventions volontaires, la cour d’appel fédérale a donné raison à Microsoft. La loi américaine permet à la police d’accéder au contenu d’e-mails uniquement après la délivrance par un juge d’un « mandat de perquisition » (warrant). Il s’agit du même outil juridique que celui utilisé pour la fouille d’une maison, par exemple. Selon Microsoft, un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis.
Le gouvernement américain soutenait, au contraire, qu’aucune fouille n’était nécessaire en dehors des Etats-Unis puisque Microsoft pouvait – à partir de son siège à Redmond (Etat de Washington) – récupérer les données irlandaises par un simple manœuvre technique. Pour le gouvernement américain, la localisation des données n’était pas importante dès lors que le fournisseur de service était situé aux Etats-Unis,
et il pouvait donc accéder à ces données.
La position du gouvernement américain converge avec l’article 57-1 du Code de procédure pénale en France, lequel permet à la police, sous certaines conditions, d’accéder à des données hébergées à l’étranger si un accès à ces données est autorisé en France.
La cour d’appel américaine n’a pas voulu rentrer dans la logique du gouvernement des Etats-Unis. La cour s’est focalisée avant tout sur l’intention du législateur américain. Selon l’arrêt du 16 juillet, une portée extraterritoriale ne peut découler implicitement d’une loi : il faut que la loi prévoie cette portée extraterritoriale explicitement. C’est le cas de certaines lois américaines qui visent de manière explicite des actes commis à l’étranger (actes de terrorisme, ou tourisme sexuel impliquant des mineurs, etc.). Cependant, si la loi ne dit rien sur l’extraterritorialité, la loi doit être lue comme étant limitée au territoire national. Selon la cour d’appel, seul le législateur est habilité à
gérer les questions délicates d’extraterritorialité et des relations internationales. L’extraterritorialité doit être explicite. La loi américaine sur la protection des communications électroniques est silencieuse sur la question territoriale. Pour la cour fédérale, la loi ne peut donc produire d’effets au-delà de la frontière des Etats-Unis.
Par conséquent, le gouvernement ne peut pas utiliser un mandat de perquisition pour forcer Microsoft à livrer des données hébergées en Irlande (1).
Le débat n’est pas clos pour autant, car le gouvernement américain pourrait porter cette affaire devant la Cour Suprême.

Plusieurs enseignements
La décision nous livre plusieurs enseignements. Le premier est qu’en matière d’enquêtes judiciaires, la loi américaine fournit autant de protections aux individus
que la loi française. L’intervention d’un juge est nécessaire, comme pour la fouille
d’un domicile. En matière de protection des données à caractère personnel, la loi américaine sur les enquêtes criminelles ne peut guère être considérée comme étant
« inadéquate », car elle fournit autant de garanties que la loi française.
Certes, les services de renseignement américains ne sont pas tenus, eux, d’obtenir
un mandat avant de collecter des données, y compris hors des Etats-Unis. Ce point
est reproché aux Etats-Unis dans le contexte du nouveau « Privacy Shield » (2). Cependant, aucun pays européen n’impose une telle exigence à ses agences du renseignement. En France, par exemple, les agences du renseignement peuvent collecter des données concernant des communications internationales avec la seule autorisation du Premier ministre. L’erreur serait de comparer l’encadrement des activités de renseignement aux Etats-Unis avec l’encadrement des enquêtes
judiciaires en France. Les deux ne sont pas comparables. Seule une comparaison
« renseignement- renseignement » serait pertinent.

L’extraterritorialité ne se présume pas
Le deuxième enseignement de l’affaire Microsoft concerne localisation des données. Est-ce que la localisation physique des données compte ? En juillet, la Russie a adopté une loi qui étend considérablement l’obligation de stocker des données sur le territoire russe. Un amendement au projet de loi « République numérique » adopté au Sénat aurait créé une obligation de stocker des données sur le territoire français. Cet amendement n’a pas été repris dans la version du texte adoptée en juillet 2016 (3). Certaines lois chinoises prévoient l’obligation de stocker des données sur le territoire chinois. Face aux risques de la mondialisation, certains Etats voient dans la localisation des données un moyen de réaffirmer leur souveraineté. La décision Microsoft semble confirmer que la localisation physique des données peut avoir un impact sur les pouvoirs des autorités nationales.
Mais ce n’est pas si simple. Une loi nationale peut prévoir la possibilité pour les autorités d’accéder à des données hors de son territoire s’il existe un accès dans le territoire (en France, article 57-1 Code de la procédure pénale), voire la possibilité d’intercepter des données à l’étranger (article L854-1 du Code de la Sécurité intérieure). La leçon de l’affaire Microsoft est que la loi doit être précise sur ce point,
car l’extraterritorialité ne se présume pas.
Sur la question de la localisation des données, le nouveau règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (4) est ambivalent, voire contradictoire. D’un côté, la localisation des données n’est pas importante, car tout traitement effectué dans le cadre des activités d’un établissement en Europe – ou lié à l’offre de services en Europe – est couvert par ce règlement, même si les données sont stockées en dehors de l’Europe. Le règlement précise d’ailleurs que le lieu du traitement est sans importance. De l’autre côté, le règlement impose des contraintes particulières pour tout transfert de données en dehors de l’Union européenne, ce qui du coup donne une importance à la localisation. Les prestataires de cloud expliqueront que les données sont stockées partout, et que cette architecture contribue à la sécurité, à la fiabilité, et au faible coût du service.
Mais après l’affaire « Snowden » (5), les fournisseurs de cloud mettent en avant des solutions de stockage 100 % européen, voire 100 % français. Les lois russes et chinoises vont dans le sens d’une localisation forcée des données sur le territoire,
sans parler de lois turques ou iraniennes (6). Dans le cadre de ses travaux sur le marché numérique unique, la Commission européenne dresse un inventaire sur les
cas de « localisation forcée » des données (7), et souligne la nécessité de permettre
la libre circulation des données afin de favoriser l’innovation, la croissance, et la liberté d’expression. Le débat sur la localisation des données s’accompagne d’un débat sur le chiffrement, car une donnée stockée localement n’est guère utile si elle ne peut être déchiffrée. La loi française oblige les fournisseurs de moyens de cryptologie à décrypter des messages, sauf si les prestataires « démontrent qu’ils ne sont pas en mesure de satisfaire à des réquisitions » (article L871-1 du Code de la Sécurité intérieure). Au moment où les gouvernements français et allemand plaident pour des pouvoirs accrus en matière de déchiffrement (8), la présidente de la Commission nationale de l’informatique et des libertés (Cnil) rappelle, dans une tribune qu’elle a cosignée (9), l’importance du chiffrement dans la protection des données à caractère personnel. @

ZOOM

Microsoft résiste encore et toujours à Washington
La firme de Redmond, dans l’Etat de Washington, a décidément maille à partir
avec l’administration de Washington. En effet, en avril 2016, Microsoft a porté plainte
– devant un tribunal fédéral de Seattle – contre le gouvernement américain en l’accusant de violer la Constitution des Etats-Unis en empêchant le géant américain
de l’informatique et du Net d’informer ses milliers de clients des requêtes « secrètes » de l’administration américaine – sous couvert de l’Electronic Communications Privacy Act (ECPA) – pour avoir accès à leurs e-mails et données personnelles.
Cette affaire rappelle celle de l’iPhone qu’Apple avait refusé de débloquer à la demande la police fédérale (FBI) – finalement abandonnée – à la suite de la tuerie de San Bernardino en décembre 2015. @

Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @

Protection des données : nouvelles règles « d’ici 2015 »

En fait. Le 18 août, la nouvelle commissaire européenne (par intérim) en charge de la Justice, Martine Reicherts, s’est engagée à ce que la réforme de la protection des données – entreprise depuis deux ans et demi par Viviane Reding (à laquelle elle succède) – aboutisse « rapidement » malgré ses « détracteurs ».

En clair. « Juste au moment où la réforme sur la protection des données monte en puissance et de façon urgente, des détracteurs tentent d’y mettre des battons dans
les roues. Ils essaient d’utiliser la récente décision [arrêt daté du 13 mai 2014, ndlr]
de la Cour de justice de l’Union européenne [CJUE] en faveur du droit à l’oubli pour saper notre réforme. Ils le font mal. Et je ne les laisserai pas abuser de cette décision cruciale pour nous empêcher d’ouvrir le marché unique numérique pour nos entreprises et mettre en place une plus forte protection pour nos citoyens », a prévenu avec détermination la Luxembourgeoise Martine Reicherts, lors de sa première intervention publique.

C’était à Lyon, devant un congrès organisé le 18 août. Premier dans ligne de mire de son discours : Google, lequel a dû se plier à cette décision européenne en mettant en ligne un formulaire à remplir (1) par les candidats au droit à l’oubli. Google, qui estime que la décision de la CJUE est « difficile à appliquer », a indiqué mi-juillet au G29 – groupement des « Cnil » européennes – avoir reçu plus de 91.000 demandes. La plus grande partie vient de la France : 17.500 demandes. Le géant du Net laisse entendre que si le droit à l’oubli est impossible à respecter (en raison du flou de certaines demandes ou du risque de censure), les futures nouvelles règles attendues le seront tout autant. Mais la nouvelle commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, qui a succédé le 16 juillet dernier à Viviane Reding, n’en démord pas : la vaste réforme de la protection des données personnelles dont elle hérite aboutira « d’ici 2015 », conformément au calendrier fixé par les représentants des Etats membres le 4 juin dernier. Car cette réforme cruciale ne peut plus tarder.
Il y a deux ans et demi, Viviane Reding présentait deux propositions législatives : un règlement définissant un cadre général pour la protection des données et une directive sur la protection des données personnelles (2). Mais le lobbying des acteurs du Net et d’organisations professionnelles de services en ligne n’a eu de cesse depuis d’exiger des assouplissements, notamment en matière de consentement préalable des internautes (avant d’utiliser leurs données personnelles ou d’installer des cookies)
et de droit à l’oubli. En mars dernier, le Parlement européen avait adopté le projet de règlement. @

Le géant américain Google s’adapte de plus en plus à l’Union européenne, de gré ou de force

Droit à l’oubli, protection des données, respect de la vie privée, concurrence sur son moteur de recherche, fiscalité numérique, investissement dans la culture, … Plus de quinze ans après sa création aux Etats-Unis, Google s’européanise – volontairement ou par obligation – chaque jour un peu plus.

Par Charles de Laubier

Carlo d'Asaro BiondoIl ne se passe plus une semaine sans que Google ne défraie la chronique européenne, souvent sur des sujets de fond, parfois sensibles. Bien que disposant de longue date d’un siège européen
à Dublin (Irlande) et ayant parmi ses dirigeants des Européens – comme depuis près de cinq ans maintenant le Franco-italien Carlo d’Asaro Biondo (photo), patron de Google pour le Sud et l’Est de l’Europe, le Moyen-Orient et l’Afrique (Seemea), basé et habitant à Paris –, ces « affaires » européanisent encore un peu plus chaque fois le géant du Net américain.

Formulaire pour le droit à l’oubli : une première mondiale
C’est le cas du droit à l’oubli confirmé par la Cour de justice de l’Union européenne (CJUE), dont un arrêt daté du 13 mai dernier permet aux internautes des Vingt-huit d’exiger de Google de supprimer toutes pages web et informations personnelles les concernant sur son moteur de recherche.
Le géant du Net a dû se plier à cette décision européenne en mettant en ligne le 29 mai
un formulaire à remplir par les candidats au droit à l’oubli ou soucieux de leur e-réputation. Lors d’une recherche, un message pourra signaler que les résultats ont été modifiés conformément l’arrêt de la CJUE et à la directive européenne de 1995 sur la protection des données personnelles.

Formulaire pour le droit à l’oubli : une première mondiale
C’est sans précédent pour le numéro un mondial des moteurs de recherche. Google s’étant engagé à traiter les demandes au cas par cas et non automatiquement, cela risque d’être fastidieux puisque 12.000 requêtes avaient été enregistrées dès le premier jour et plus de 40.000 au bout de quatre ! L’Europe compte 500 millions d’internautes potentiels… Le comité consultatif d’experts (2) mis en place par Google, et censé rendre son rapport
« début 2015 », risque d’être très vite débordé. Reste à savoir si le « G29 », le groupement des « Cnil » européennes (3) qui s’est réuni les 3 et 4 juin, trouvera le dispositif suffisant et conforme à l’arrêt de la CJUE, sachant que Google ne précise
pas dans quel délai il supprimera – uniquement sur le moteur en Europe… – les données concernées. Les « Cnil » veilleront aussi à ce que l’application du droit à l’oubli – par ce cénacle privé et en dehors de toute décision du juge – ne s’apparente à de la censure,
à de la violation de la liberté d’expression ni encore à de l’atteinte à la liberté de la presse.

Pas de « taxe Google » mais plus de TVA
Le G29 entend aussi amener Google à s’engager sur un « pacte de conformité » sur la protection des données personnelles, de façon à mieux informer les internautes. Et ce, depuis que le moteur de recherche américain a fusionné en mars 2012 une soixantaine
de règles d’utilisation en une seule – regroupant ainsi les données collectées de ses services auparavant séparés (Google, Gmail, Google+, YouTube, Picasa, Google Docs, Google Maps, …). La Cnil en France, qui pilote l’action du G29 vis-à-vis de Google, a
déjà infligé à ce dernier – le 8 janvier – une amende de 150.000 euros pour sa nouvelle politique de confidentialité des données jugée non conforme à la loi Informatique et Libertés (internautes mal informés, non respect du consentement préalable des utilisateurs avant tout cookie, absence de durées de conservation des données, combinaison illégale des données collectées). Google a dû afficher un temps sur la page d’accueil de Google.fr un encart sur sa condamnation. Là aussi, une première mondiale. Google a néanmoins saisi le Conseil d’Etat sur le fond contre cette sanction de la Cnil.

Autre domaine, et non des moindres, où Google va devoir s’européaniser un peu plus :
la fiscalité du numérique. Le géant du Net aura à se mettre en conformité – d’ici le 1er janvier 2015 – avec la nouvelle règle communautaire dite du « pays de consommation » (qui va progressivement remplacer celle du pays d’établissement du siège social). La
TVA sera en effet prélevée à partir de l’an prochain par le pays où l’internaute utilise les services en ligne. En fait, le compromis trouvé fin 2007 à la demande du Luxembourg prévoit un échelonnement progressive de cette règle du lieu de consommation, de 2015
à 2019, à savoir : 30 % conservés par le pays d’établissement en 2015-2016, 15 % en 2017-2018 et enfin 0% à partir du 1er janvier 2019. Cette nouvelle règle, applicable dans un peu plus de six mois maintenant, éloigne le spectre d’une « taxe Google » en Europe.
« L’économie numérique ne nécessite pas un régime fiscal distinct », a d’ailleurs conclu un groupe d’experts dans leur rapport sur la fiscalité de l’économie numérique (4) commandité par la Commission européenne. Quoi qu’il en soit, déjà sous le coup d’une procédure de redressement fiscal en France depuis 2012 pour un montant qui serait de l’ordre de 1 milliard d’euros, Google ne pourra plus pratiquer l’évasion fiscale en profitant du « dumping fiscal » pratiqué par certains Etats de l’Union européenne. C’est ainsi qu’ont été popularisés deux montages financiers baptisés « double irlandais » et « sandwich hollandais » qui auraient permis à Google d’échapper en grande partie à l’impôt en Europe grâce à une filiale située dans le paradis fiscal des Bermudes (où est située sa filiale Google Ireland Holdings). Cette double pirouette fiscale, a priori légale, est décrite en détail dans le rapport français « Colin & Collin » de janvier 2013 sur la fiscalité de l’économie numérique. Pierre Collin est justement l’un des six experts du groupe de haut niveau qui vient de remettre son rapport. Google va devoir cesser cette optimisation fiscale. D’autant que l’Europe attend beaucoup du projet BEPS (Base Erosion and Profit Shifting, comprenez « érosion de l’assiette et déplacement des profits ») de l’Organisation de coopération et de développement économiques (OCDE), laquelle doit présenter un rapport lors de la réunion du G20 en septembre prochain.

Autre « affaire » dans laquelle Google doit s’adapter aux exigences de l’Union européenne : celle du respect de la concurrence sur son moteur de recherche. Le commissaire européen chargé de la Concurrence, Joaquín Almunia, a bien l’intention de conclure
« après l’été » son enquête ouverte en novembre 2010 – à la suite de plaintes d’une dizaine d’entreprises – contre Google pour « abus de position dominante ». Il est reproché au géant du Net de favoriser ses propres services, via son moteur de recherche, aux dépens de ceux de ses concurrents. Pour éviter une amende pouvant aller jusqu’à 5 milliards de dollars, Google a présenté en février dernier de nouvelles concessions que
la Commission européenne semble prête à accepter. Mais c’est sans compter de nouvelles plaintes de 400 entreprises françaises et allemandes qui, regroupées dans une organisation baptisée Open Internet Project (créée à l’initiative notamment de Lagardère, CCM Benchmark et Axel Springer), accusent Google d’atteinte à la neutralité d’Internet
et des résultats de recherche. « Le secteur digital européen demande aux gouvernements européens de garantir une compétition loyale face au monopole de Google, en séparant son moteur de recherche d’une part et ses services d’autre part », a déclaré l’OIP.
Par ailleurs, la firme de Mountain View de plus en plus eurocompatible est confrontée
– en France principalement – aux tenants de « l’exception culturelle » qui exigent sa contribution financière (5). Comme gage de sa bonne volonté, Google a ouvert dès
2011 à Paris son Institut culturel. Mais cela ne leur suffit pas.

Financement de la culture européenne ?
L’« appel de Chaillot » du 4 avril demande à ce que « les diffuseurs contribuent au financement de la création ». Aurélie Filippetti, ministre de la Culture et de la Communication, compte convaincre ses homologues européens d’adopter « une stratégie européenne pour la culture à l’ère numérique ». Une « feuille de route » sera proposée dans ce sens à la prochaine Commission européenne pour la période 2014-2019. @