A 75 ans, l’Unesco – dirigée par Audrey Azoulay – prend des airs de régulateur mondial de l’Internet

C’est en novembre 1946 qu’est formellement créée l’organisation des Nations Unies pour l’éducation, la science et la culture. Soixante-quinze ans après, son onzième directeur général et deuxième femme – Audrey Azoulay – a été réélue pour un second mandate de quatre ans. Parmi ses priorités : le numérique.

Comme en octobre 2017, la Française Audrey Azoulay (photo) a été élue en novembre 2021 – cette fois pour un second mandat de quatre ans – à la direction générale de l’Unesco, lors de la 41e conférence générale de celle-ci, avec à nouveau le soutien de « la République française » qui a proposé une seconde fois sa candidature. Entre le précédent locataire de l’Elysée, François Hollande, et l’actuel, Emmanuel Macron – lequel, faut-il le rappeler, y a été le secrétaire général adjoint du premier puis « son » ministre de l’Economie, de l’Industrie et du Numérique (avant de devenir son rival) –, il y a un point commun : celui d’avoir été à l’origine de la nomination d’Audrey Azoulay à la tête de cette organisation onusienne basée à Paris. Autant son accession à ce poste international n’avait pas été évidente il y a quatre ans, autant sa réélection est passée comme une lettre à la poste : sur 193 Etats membres de l’Unesco, 169 ont voté le 9 novembre, dont 155 voix se sont portées sur l’ancienne ministre de la Culture et de la Communication (après avoir été conseillère dans ces domaines auprès de François Hollande à l’Elysée). Il faut dire que l’énarque était seule en lice pour ce mandat 2021-2025, alors que pour remporter son premier mandat (après une candidature déposée in extremis) elle avait dû battre le Qatari Hamad bin Abdulaziz al-Kawari.

Encadrer l’intelligence artificielle, les algorithmes et les données
Bientôt quinquagénaire (en août 2022), la voici à pied d’oeuvre pour quatre nouvelles années à l’Unesco, laquelle organisation a fêté ses 75 ans le 12 novembre dernier . Le premier jour de cette 41e conférence générale de l’Unesco, qui s’est tenue du 9 au 24 novembre, Audrey Azoulay a prononcé – en français, en anglais et en espagnol – son discours de politique générale. Plus que jamais, en plus des défis de l’éducation, de l’environnement et de la paix, le défi du numérique est désormais au coeur de son action. « Le quatrième défi que je souhaite relever est celui de construire un univers numérique qui soit au service de nos valeurs sans les assujettir A l’ère des métavers, des mégadonnées et des robots d’Asimov [écrivain américano-russe et biochimiste, auteur de science-fiction et de vulgarisation scientifique, ndlr], nous avons besoin d’orientations claires », a déclaré la directrice générale fraîchement reconduite à la tête de l’Unesco. Pour Audrey Azoulay, l’organisation onusienne doit avoir son mot à dire sur le monde du numérique, comme elle l’a eu sur Continuer la lecture

Autorité de la concurrence : ce que disait Isabelle de Silva sur le projet de fusion TF1-M6 avant la fin de son mandat

Isabelle de Silva a achevé le 13 octobre dernier son mandat de cinq ans à la présidence de l’Autorité de la concurrence. La conseillère d’Etat était candidate à sa propre succession, mais elle a été « un peu surprise » de ne pas être renouvelée. Etait-elle un obstacle à la fusion envisagée par TF1 et M6 ?

Le (ou la) président(e) de l’Autorité de la concurrence est nommé(e) par décret du président de la République. Le 14 octobre 2016, François Hollande avait ainsi placé Isabelle de Silva (photo) à la tête des sages de la rue de l’Echelle. La conseillère d’Etat paie-t-elle aujourd’hui le fait d’avoir succédé à Bruno Lasserre grâce au prédécesseur d’Emmanuel Macron ? Nul ne le sait. Une chose est sûre : l’actuel président de la République n’a pas renouvelé Isabelle de Silva dans ses fonctions et sans pour autant désigner de remplaçant (Emmanuel Combe assurant l’intérim). Et ce, malgré « ses compétences dans les domaines juridique et économique ». Cette conseillère d’Etat, à la double nationalité franco-américaine et polyglotte, qui plus est énarque sortie dans « la botte » en 1994, n’avait en rien démérité durant ses cinq années de mandat à l’autorité antitrust française – bien au contraire aux dires de nombreuses personnes des mondes politique, économique et médiatique. « Sur le moment, j’ai eu un petit peu de surprise (…) J’espérais continuer, c’est vrai (…) », a-telle confié le 11 octobre sur BFM Business.

Diluer le poids « pub » de TF1-M6 avec les GAFA ?
C’est sur Twitter qu’elle avait confirmé dès le 4 octobre son départ, alors qu’elle le savait depuis près de deux semaines auparavant. Pourquoi Emmanuel Macron a-t-il donc décidé de se passer de ses bons et loyaux services à la tête du gendarme de la concurrence ? N’avait-elle pas le soutien de Bruno Le Maire, le ministre de l’Economie, des Finances et de la Relance ? La réponse est au palais de l’Elysée, d’où aucun commentaire sur cette non-reconduction n’a filtré ni aucun remerciement public à Isabelle de Silva n’a été formulé. Son départ s’apparente à une éviction à six mois de l’élection présidentielle et surtout en pleine instruction du dossier le plus sensible de la fin du quinquennat d’Emmanuel Macron : le projet de fusion entre les deux grands groupes privés de télévision, TF1 et M6. Or, lorsqu’elle était encore présidente de l’antitrust français, Isabelle de Silva n’avait pas caché que marier les deux n’allait pas de soi et que donner sa bénédiction à ces deux acteurs majeurs du paysage audiovisuel français (PAF) n’était pas Continuer la lecture

Crise sanitaire : plus que jamais, les Français parient sur les jeux d’argent et de hasard en ligne

L’Autorité nationale des jeux (ANJ) fête ses un an. Succédant à l’Arjel, elle a été constituée le 15 juin 2020 par la nomination des neuf membres de son collège, dont sa présidente, Isabelle Falque-Pierrotin, ex-présidente de la Cnil. Avec les confinements, les jeux d’argent et de hasard ont le vent en poupe, paris sportifs en tête.

Plus de dix ans après l’ouverture du marché français des jeux d’argent et de hasard en ligne que sont les paris sportifs, les paris hippiques et le poker, le dynamisme est de mise malgré – ou grâce à – la crise sanitaire : sur l’année 2020, le chiffre d’affaires des opérateurs de jeux à gains a augmenté de 22 % en un an pour atteindre un peu plus de 1,7 milliard d’euros, soit un record depuis l’ouverture à la concurrence (1). Ce que l’on appelle aussi le « produit brut des jeux » (2) a été généré grâce à presque 5 millions de comptes joueurs actifs (CJA), un joueur pouvant en avoir plusieurs chez différents opérateurs (3). « Ces performances illustrent l’accélération de la digitalisation des pratiques de jeu, qui est une conséquence de la crise sanitaire », avance, pour expliquer cet engouement dans les jeux d’argent et de hasard en ligne, l’Autorité nationale des jeux (ANJ) présidée depuis sa création il y a un an par Isabelle Falque-Pierrotin (photo).

Parier sur l’Euro de football et les JO de Tokyo
En effet, nombre de compétitions sportives et de courses hippiques physiques ont été suspendues en raison de la pandémie. Ce qui a favorisé l’an dernier la forte hausse des revenus des opérateurs agréés, non seulement dans les paris en ligne – chiffre d’affaires d’ailleurs plus important sur les enjeux hippiques (+ 31 % en 2020) que sur les mises sportives (+ 7 %) –, mais aussi et surtout dans le poker (+ 64 %). Qu’en sera-t-il à l’ère post-covid, s’il devait y avoir un monde d’après ? Pour l’heure, dans la foulée de l’année 2020, le premier trimestre 2021 s’est inscrit lui aussi en croissance soutenue à deux chiffres, de 35 % sur un an à , toujours en termes de chiffre d’affaires des opérateurs de jeux d’argent en ligne – au nombre de quinze aujourd’hui. Quant à l’ensemble des quelque 3 millions de comptes actifs, il est aussi en forte augmentation, de 19 % sur le premier trimestre. Après avoir été la victime collatérale des confinements, les paris sportifs en ligne reprennent, eux, du poil de la bête cette année avec Continuer la lecture

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture

Brexit : entre l’Union européenne et le Royaume-Uni, les données personnelles sont entre deux eaux

Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.