A quoi sert le Conseil national du numérique (CNNum) et surtout est-il vraiment indépendant du pouvoir ?

Douter de l’indépendance du CNNum peut paraître incongru, sept ans après que cette « commission administrative à caractère consultatif » ait été créée, mais la question mérite d’être posée tant sa proximité avec le chef de l’Etat et le « ministre chargé de l’économie numérique » est avérée, jusque dans son fonctionnement et son financement.

(Le 19 décembre, soit le lendemain de la parution de notre article resté en l’état, Marie Ekeland a annoncé sa démission de la présidence du CNNum. A la suite de quoi, plus des deux-tiers des autres membres ont à leur tour « collectivement » démissionné)

Nouvelle présidente, nouveaux membres, nouveaux locaux, nouvelles ambitions, nouvelles missions, … Le Conseil national du numérique (CNNum), dont l’idée fut formulée il y aura dix l’an prochain avant d’être concrétisée en 2011 par Nicolas Sarkozy (alors président de la République), fait une nouvelle fois peau neuve. Contrairement à ses prédécesseurs – Gilles Babinet (2011- 2012), Benoît Thieulin (2013- 2015) et Mounir Mahjoubi (2016-janvier 2017) – qui furent nommés « par décret du président de la République », Marie Ekeland (photo de gauche) l’a cette fois été « par arrêté du Premier ministre ».
Il en va de même des vingt-neuf autres membres qui composent cette « commission administrative à caractère consultatif » (1). Cette manière de changer son fusil d’épaule n’est-il pas pour éviter que l’ombre du chef de l’Etat Emmanuel Macron (photo de droite), précédemment ministre de l’Economie, de l’Industrie et du Numérique (août 2014-août 2016), ne plane de trop au-dessus du nouveau CNNum ?

La double tutelle d’un CNNum bien encadré
C’est en tout cas ce qu’a demandé Edition Multimédi@ à Mounir Mahjoubi, secrétaire d’Etat auprès du Premier ministre en charge du Numérique, lors de la présentation du nouveau CNNum, le 11 décembre dernier. « Vous allez trop loin… », nous a aimablement répondu celui qui fut le prédécesseur de Marie Ekeland à la présidence de cette commission. Dans cette « transformation dans la continuité », les trente membres – dont fait partie la présidente – restent nommés « sur proposition du ministre chargé de l’économie numérique », en l’occurrence aujourd’hui Mounir Mahjoubi.
Ce dernier a tenu à préciser que ce n’était plus dorénavant le président de la République qui les nommait : « Historiquement, les membres du CNNum étaient nommés par le président de la République car on pensait que le gouvernement ne pouvait pas s’occuper du sujet [le numérique, ndlr] tout seul. Or, dans les compétences constitutionnelles, ce n’est pas dans le rôle du chef de l’Etat. C’est au gouvernement Lire la suite

Projet de nouveau règlement sur la vie privée et la protection des données : top départ pour le lobbying

La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying

Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.

 

L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.

Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.

Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».

Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @

Charles de Laubier

Communication des décisions de justice : favoriser la liberté d’expression ou le droit à la vie privée ?

Il est traditionnellement acquis, en jurisprudence française, que le droit à la vie privé ne peut être interprété comme un droit susceptible de faire disparaître le droit à la liberté d’expression. Cependant, une inflexion est perceptible, Internet facilitant les risques d’atteinte à la vie privée.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Signe de l’évolution numérique, ce combat de l’équilibre entre
ces deux dro i t s fondamentaux – la liberté d’expression et le droit au respect de la vie privée – se déplace actuellement sur le terrain du droit à la protection des données à caractère personnel (facette du droit à la vie privée), contre le droit à la protection des contenus médiatiques publiés sur Internet (facette du droit à la liberté d’expression).

Arrêt « Lesechos.fr » de 2016
Tandis qu’explosent actuellement – suite à l’arrêt « Costeja » impliquant Google en Espagne (1) – les demandes de référencement qui atteignent désormais les organes
de presse en ligne, la Cour de cassation a eu l’occasion de trancher en faveur de la protection des archives de presse. Elle a ainsi rejeté, par un arrêt en date du 12 mai 2016, la demande de deux individus ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et libertés » relatif au droit d’opposition au traitement de données
à caractère personnel – la suppression d’informations identifiantes sur le moteur de recherche du site web d’un journal. Celui-ci, en l’occurrence Lesechos.fr (2), donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre plusieurs années auparavant. La Cour s’est fondée sur l’absence d’inexactitude des faits et a considéré que « le fait d’imposer à un organe de presse (…) de supprimer du site Internet dédié à l’archivage de ses articles (…) l’information elle-même contenue dans l’un de ces articles (…) privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».
Ce parti pris n’est pas nouveau en droit français. Ainsi, dans une affaire concernant la publication d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu, le tribunal de grande instance (TGI) de Paris avait déjà jugé en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime
« tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants » et qu’aucun abus de la liberté de la presse n’était établi (3). Cependant, une inflexion est perceptible, l’Internet étant devenu un moyen de rechercher et de se renseigner, facilitant les risques d’atteinte à la vie privée. Cette atteinte est réprimée par l’article 226-1 du Code pénal qui sanctionne d’une peine
d’un an d’emprisonnement et de 45.000 euros d’amende le fait de porter atteinte volontairement à l’intimité de la vie privée d’autrui en « fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé ».
S’agissant des comptes rendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès, la Commission nationale de l’informatique et des liberté (Cnil) avait déjà eu l’occasion de tirer la sonnette d’alarme concernant les risques d’atteintes à la vie privée des personnes concernées. Elle avait en effet considéré en 1995 qu’il n’est pas indispensable de diffuser les décisions en ligne, sur des sites web en accès libre, en précisant que « les aménagements aux règles de la protection des données que commande le respect de la liberté d’expression ne doivent pas avoir pour effet de dispenser les organismes de la presse écrite ou audiovisuelle, lorsqu’ils recourent à des traitements automatisés, de l’observation de certaines règles » (4).

Open data et « République numérique »
Une ordonnance du 19 décembre 2014, dans la suite de l’affaire « Google Spain »
de la même année, vient illustrer cette inflexion. Le juge avait retenu les « raisons prépondérantes et légitimes prévalant sur l e d r o i t à l ’ i n f o r m a t i o n » i n v o q u é e p a r l a demanderesse. La nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant –, et l’absence de mention de la condamnation au casier judiciaire de l’intéressée, justifiaient le déréférencement du lien renvoyant à un article de 2006 (5).
Or, le droit à l’information est en grande partie garanti par la publicité des audiences
et des décisions de justice ainsi que la libre communication des jugements. Aussi, en prévoyant que la quasi-totalité des décisions produites par les juridictions françaises devront être accessible en open data (autrement dit en accès libre), la loi « République numérique » marque l’aboutissement du processus d’ouverture des données. Cette mesure (6) s’inscrit dans la logique de la politique volontariste du gouvernement d’ouverture des données publiques (mission Etalab). Elle répond de surcroît à la préconisation de la mission d’information du Sénat (7) d’inscrire dans la loi une obligation de mise en ligne progressive de l’ensemble des bases de données détenues par l’administration.

Conciliation par anonymisation ?
La numérisation des décisions de justice et leur mise à disposition sur Internet favorise le risque de voir des bases de données se créer et vendre des données sensibles susceptibles d’intéresser certains acteurs. Par exemple, une banque pourrait très certainement ê t re i n t é ress é e p a r l a condamnation pour surendettement d’un de ses clients. Pour reprendre les mots de Claude Bourgeos, docteur en droit, « l ’ e x p l o i t a t i o n d e s b a n q u e s d e d o n n é e s jurisprudentielles [pouvait] aboutir à la constitution d’un gigantesque casier “juridique” des personnes sans qu’aucun contrôle ne puisse être exercé dessus » (8).
Aussi, consciente des risques amplifiés par les facilités de recherche sur l’Internet – rien de plus facile que de retrouver une jurisprudence donnée au moyen de critères croisés (date de la décision, articles visés, motc l é d u tex t e i n t é g r a l ) – , l a C n i l a é m i s u n e recommandation du 29 novembre 2001 (9) portant sur « la diffusion de données personnelles sur Internet par les banques de données de jurisprudence ». Les éditeurs de bases de données de décisions de justice librement accessibles sur des sites Internet doivent s’abstenir de faire faire figurer le nom et l’adresse des parties ou des témoins au procès. Cette mesure doit être prise à l’initiative du diffuseur et sans que les personnes concernées aient à accomplir de démarche particulière. Cette anonymisation ne souffre en principe aucune exception et la Cnil dispose d’un pouvoir de sanctions à l’encontre des responsables de traitement de données à caractère personnel qui ne respecteraient pas leurs obligations. On observe que l’anonymisation générale des décisions de justice publiées sur Internet est également effective dans de nombreux autres pays, notamment en Allemagne, aux Pays-Bas et au Portugal.
En faisant le bilan de cette recommandation cinq ans près (19 janvier 2006 (10)), la Cnil a pu constater que l’anonymisation était effective chez la plupart des éditeurs de bases de données, notamment sur le principal site français de bases de données de jurisprudence en accès libre, Légifrance. Cependant, la puissance des moteurs de recherche permettant d’accéder très aisément à ces décisions – il suffirait, pour un employeur, à la recherche d’un nouvel employé, de se rendre sur une base de données juridique et de taper le nom de l’intéressé –, elle a conclu à la nécessité d’adopter une disposition législative spécifique (11). Celle-ci prévoit l’anonymisation des données lorsqu’elles sont diffusées par des moyens électroniques en raison de « l’impact réel, parfois dramatique, de la diffusion de décisions nominatives sur [un site] sur les vies personnelles et professionnelles des personnes concernées ».
Depuis l’anonymisation s’est imposée très rapidement comme la règle. D’ailleurs, une décision du Conseil d’Etat du 11 mars 2015 (12) a précisé que l’anonymisation était
une règle générale qui s’applique également à la Cnil, en lui enjoignant de procéder
à l’anonymisation des mentions d’une délibération concernant un tiers à la procédure objet de cette délibération. Avec l’open data qui généralise le libre accès aux décisions de justice, le risque de la ré-identification – c’est-à-dire le risque, après anonymisation, de retrouver les noms retirés en s’intéressant aux autres éléments du texte – devient important. En effet, on peut imaginer que si une décision comporte la mention du titre de la personne concernée, par exemple « Mme X, président de la société Y », il ne sera pas très difficile de retrouver le nom de la personne concernée.

Limiter le risque de ré-identification
Aussi, le Conseil d’Etat préconise – afin de limiter le risque de réidentification – de
« faire définir par la Cnil […] des standards d’anonymisation ; constituer au sein de chaque ministère un pôle d’expertise en matière d’anonymisation, a priori au sein du service statistique ministériel ; […] lorsque le risque de réidentification ne peut être écarté, définir une procédure d’accès sur autorisation plutôt que de mettre en ligne,
en particulier lorsque sont en cause des données sensibles » (13). @

* Ancien bâtonnier du Barreau de Paris.

L’affaire « Microsoft » : la localisation des données et l’extraterritorialité en question

Le 14 juillet 2016, la cour d’appel fédérale de Manhattan aux Etats-Unis a décidé qu’un mandat de perquisition ne permettait pas aux autorités américaines d’obtenir des données stockées par Microsoft en Irlande, car un tel mandat ne peut avoir d’effets en dehors des frontières des Etats-Unis.
Quel impact en Europe ?

Par Winston Maxwell (photo), avocat associé, Hogan Lovells

winston-maxwellL’arrêt « Microsoft » a le mérite de préciser l’étendue territoriale des pouvoirs de police aux Etats-Unis et de relancer le débat sur la localisation des données. Cette affaire commence en décembre 2013 lorsqu’un magistrat ordonne à la firme de Redmond de livrer aux services du procureur de l’Etat de New York le contenu de courriers électroniques appartenant à une personne suspectée de trafic de drogues.
Microsoft a livré les métadonnées concernant le compte e-mail du suspect, mais a refusé de livrer le contenu des e-mails, car celui-ci était hébergé en Irlande. Selon Microsoft, les effets de l’ordonnance du magistrat s’arrêtaient aux frontières des Etats-Unis. En première instance, le magistrat a sanctionné Microsoft en 2014 pour avoir désobéi à son ordonnance.

Perquisitions et frontières
Après une procédure d’appel médiatisée et impliquant de nombreuses interventions volontaires, la cour d’appel fédérale a donné raison à Microsoft. La loi américaine permet à la police d’accéder au contenu d’e-mails uniquement après la délivrance par un juge d’un « mandat de perquisition » (warrant). Il s’agit du même outil juridique que celui utilisé pour la fouille d’une maison, par exemple. Selon Microsoft, un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis.
Le gouvernement américain soutenait, au contraire, qu’aucune fouille n’était nécessaire en dehors des Etats-Unis puisque Microsoft pouvait – à partir de son siège à Redmond (Etat de Washington) – récupérer les données irlandaises par un simple manœuvre technique. Pour le gouvernement américain, la localisation des données n’était pas importante dès lors que le fournisseur de service était situé aux Etats-Unis,
et il pouvait donc accéder à ces données.
La position du gouvernement américain converge avec l’article 57-1 du Code de procédure pénale en France, lequel permet à la police, sous certaines conditions, d’accéder à des données hébergées à l’étranger si un accès à ces données est autorisé en France.
La cour d’appel américaine n’a pas voulu rentrer dans la logique du gouvernement des Etats-Unis. La cour s’est focalisée avant tout sur l’intention du législateur américain. Selon l’arrêt du 16 juillet, une portée extraterritoriale ne peut découler implicitement d’une loi : il faut que la loi prévoie cette portée extraterritoriale explicitement. C’est le cas de certaines lois américaines qui visent de manière explicite des actes commis à l’étranger (actes de terrorisme, ou tourisme sexuel impliquant des mineurs, etc.). Cependant, si la loi ne dit rien sur l’extraterritorialité, la loi doit être lue comme étant limitée au territoire national. Selon la cour d’appel, seul le législateur est habilité à
gérer les questions délicates d’extraterritorialité et des relations internationales. L’extraterritorialité doit être explicite. La loi américaine sur la protection des communications électroniques est silencieuse sur la question territoriale. Pour la cour fédérale, la loi ne peut donc produire d’effets au-delà de la frontière des Etats-Unis.
Par conséquent, le gouvernement ne peut pas utiliser un mandat de perquisition pour forcer Microsoft à livrer des données hébergées en Irlande (1).
Le débat n’est pas clos pour autant, car le gouvernement américain pourrait porter cette affaire devant la Cour Suprême.

Plusieurs enseignements
La décision nous livre plusieurs enseignements. Le premier est qu’en matière d’enquêtes judiciaires, la loi américaine fournit autant de protections aux individus
que la loi française. L’intervention d’un juge est nécessaire, comme pour la fouille
d’un domicile. En matière de protection des données à caractère personnel, la loi américaine sur les enquêtes criminelles ne peut guère être considérée comme étant
« inadéquate », car elle fournit autant de garanties que la loi française.
Certes, les services de renseignement américains ne sont pas tenus, eux, d’obtenir
un mandat avant de collecter des données, y compris hors des Etats-Unis. Ce point
est reproché aux Etats-Unis dans le contexte du nouveau « Privacy Shield » (2). Cependant, aucun pays européen n’impose une telle exigence à ses agences du renseignement. En France, par exemple, les agences du renseignement peuvent collecter des données concernant des communications internationales avec la seule autorisation du Premier ministre. L’erreur serait de comparer l’encadrement des activités de renseignement aux Etats-Unis avec l’encadrement des enquêtes
judiciaires en France. Les deux ne sont pas comparables. Seule une comparaison
« renseignement- renseignement » serait pertinent.

L’extraterritorialité ne se présume pas
Le deuxième enseignement de l’affaire Microsoft concerne localisation des données. Est-ce que la localisation physique des données compte ? En juillet, la Russie a adopté une loi qui étend considérablement l’obligation de stocker des données sur le territoire russe. Un amendement au projet de loi « République numérique » adopté au Sénat aurait créé une obligation de stocker des données sur le territoire français. Cet amendement n’a pas été repris dans la version du texte adoptée en juillet 2016 (3). Certaines lois chinoises prévoient l’obligation de stocker des données sur le territoire chinois. Face aux risques de la mondialisation, certains Etats voient dans la localisation des données un moyen de réaffirmer leur souveraineté. La décision Microsoft semble confirmer que la localisation physique des données peut avoir un impact sur les pouvoirs des autorités nationales.
Mais ce n’est pas si simple. Une loi nationale peut prévoir la possibilité pour les autorités d’accéder à des données hors de son territoire s’il existe un accès dans le territoire (en France, article 57-1 Code de la procédure pénale), voire la possibilité d’intercepter des données à l’étranger (article L854-1 du Code de la Sécurité intérieure). La leçon de l’affaire Microsoft est que la loi doit être précise sur ce point,
car l’extraterritorialité ne se présume pas.
Sur la question de la localisation des données, le nouveau règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (4) est ambivalent, voire contradictoire. D’un côté, la localisation des données n’est pas importante, car tout traitement effectué dans le cadre des activités d’un établissement en Europe – ou lié à l’offre de services en Europe – est couvert par ce règlement, même si les données sont stockées en dehors de l’Europe. Le règlement précise d’ailleurs que le lieu du traitement est sans importance. De l’autre côté, le règlement impose des contraintes particulières pour tout transfert de données en dehors de l’Union européenne, ce qui du coup donne une importance à la localisation. Les prestataires de cloud expliqueront que les données sont stockées partout, et que cette architecture contribue à la sécurité, à la fiabilité, et au faible coût du service.
Mais après l’affaire « Snowden » (5), les fournisseurs de cloud mettent en avant des solutions de stockage 100 % européen, voire 100 % français. Les lois russes et chinoises vont dans le sens d’une localisation forcée des données sur le territoire,
sans parler de lois turques ou iraniennes (6). Dans le cadre de ses travaux sur le marché numérique unique, la Commission européenne dresse un inventaire sur les
cas de « localisation forcée » des données (7), et souligne la nécessité de permettre
la libre circulation des données afin de favoriser l’innovation, la croissance, et la liberté d’expression. Le débat sur la localisation des données s’accompagne d’un débat sur le chiffrement, car une donnée stockée localement n’est guère utile si elle ne peut être déchiffrée. La loi française oblige les fournisseurs de moyens de cryptologie à décrypter des messages, sauf si les prestataires « démontrent qu’ils ne sont pas en mesure de satisfaire à des réquisitions » (article L871-1 du Code de la Sécurité intérieure). Au moment où les gouvernements français et allemand plaident pour des pouvoirs accrus en matière de déchiffrement (8), la présidente de la Commission nationale de l’informatique et des libertés (Cnil) rappelle, dans une tribune qu’elle a cosignée (9), l’importance du chiffrement dans la protection des données à caractère personnel. @

ZOOM

Microsoft résiste encore et toujours à Washington
La firme de Redmond, dans l’Etat de Washington, a décidément maille à partir
avec l’administration de Washington. En effet, en avril 2016, Microsoft a porté plainte
– devant un tribunal fédéral de Seattle – contre le gouvernement américain en l’accusant de violer la Constitution des Etats-Unis en empêchant le géant américain
de l’informatique et du Net d’informer ses milliers de clients des requêtes « secrètes » de l’administration américaine – sous couvert de l’Electronic Communications Privacy Act (ECPA) – pour avoir accès à leurs e-mails et données personnelles.
Cette affaire rappelle celle de l’iPhone qu’Apple avait refusé de débloquer à la demande la police fédérale (FBI) – finalement abandonnée – à la suite de la tuerie de San Bernardino en décembre 2015. @

Les « Cnil » européennes tirent exagérément sur le nouveau bouclier « Privacy Shield »

Le groupe « G29 » critique trop sévèrement le nouveau « bouclier vie privée » (Privacy Shield) entre l’Europe et les Etats-Unis. Il trouve ses mécanismes de
co-régulation insuffisants. Pourtant, l’idéal européen en matière de protection
de droits individuels n’existe pas non plus.

Par Julie Brill et Winston Maxwell, avocats associés, Hogan Lovells

Comme le tout nouveau règlement européen sur le traitement des données à caractère personnel et la libre circulation de ces données (1), la directive de 1995 sur la protection des données à caractère personne (2) interdit tout transfert de données vers un pays non-européen, sauf si le transfert tombe dans l’une des exceptions prévues par la directive. Depuis 2000, le système d’auto-certification dénommé « Safe Harbor » était considéré par la Commission européenne comme fournissant un niveau de protection adéquat, et a permis le transfert de données vers les entreprises américaines détenant ce label.

Le Privacy Shield ne convainc pas le G29
En novembre 2013, la Commission européenne a remis en cause le système Safe Harbor, et cette remise en cause a été confirmée par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt « Schrems » (3). Depuis, le régime Safe Harbor
est en pratique mort et les entreprises utilisent d’autres outils juridiques, tels que les
« clauses contractuelles types », pour effectuer leurs transferts de données vers les Etats-Unis. Depuis la mort du Safe Harbor, la Commission européenne et le gouvernement américain travaillent sur un nouveau dispositif amélioré. Dévoilé le 29 février, le nouveau système, dénommé « Privacy Shield », tire les leçons des critiques de la Commission européenne et de la CJUE.
La Commission européenne a annoncé son intention de déclarer ce nouveau régime
« adéquat » au regard de la directive de 1995. Mais le 13 avril 2016, le groupe « article 29 » (G29), qui réunit les « Cnil » européennes, a émis un avis mitigé. Tout en félicitant la Commission européenne et les Etats-Unis du travail accompli, le G29 estime que le nouveau système lui semblait défectueux à plusieurs égards : premièrement, les principes de protection énoncés dans le Privacy Shield ne reflètent pas l’ensemble des principes de la directive de 1995 ; deuxièmement, le dispositif ne garantit pas suffisamment la mise en oeuvre effective de ces principes au sein des entreprises ; troisièmement, les pouvoirs des autorités de renseignements américains ne sont toujours pas assez encadrés. Avant d’examiner ces trois séries de critiques, revenons aux fondements : le Privacy Shield, comme le régime Safe Harbor, est un régime de
co-régulation. Les entreprises qui souhaitent participer à ce régime doivent souscrire à des engagements, et les mettre en oeuvre sous le contrôle de l’Etat (4). Ce régime est similaire aux « Binding Corporate Rules » (BCR) et au label gouvernance de la Cnil. Les entreprises souscrivent aux engagements et sont responsables pour leur mise
en oeuvre. Elles doivent être en mesure de rendre compte aux autorités des mesures prises. Il s’agit d’un exemple du principe d’« accountability » mis en avant par le nouveau règlement européen. Ainsi, le Privacy Shield est dans l’air du temps.

Malgré ses similitudes avec les BCR et autres mécanismes de co-régulation, le Privacy Shield ne convainc pas le G29. La première série de critiques concerne les principes de protection. Selon le G29, le Privacy Shield a omis le principe de limitation de durée de conservation des données. Le groupe pointe du doigt également l’encadrement insuffisant des transferts ultérieurs (« onward transfer »). La deuxième série de critiques concerne la mise en oeuvre effective des principes par les entreprises et par le gouvernement américain. La plupart des entreprises américaines ont pris au sérieux leurs engagements au titre du Safe Harbor, mettant en place un programme rigoureux de conformité. Mais ce n’était pas le cas de toutes les entreprises, et la Commission européenne a demandé une supervision accrue de la part des autorités américaines (5). Le nouveau régime Privacy Shield prévoit donc un rôle accru du Département du Commerce dans la surveillance des entreprises ayant opté pour le régime « privacy shield ».

Fais ce que je dis, pas ce que je fais…
En cas de manquement, la FTC sera en droit d’appliquer des sanctions lourdes. En plus, le nouveau régime prévoit la possibilité pour les citoyens européens d’effectuer des réclamations directement auprès de la société américaine concernée, mais également auprès de l’autorité de protection des données à caractère personnel de
leur propre pays, laquelle transmettra la plainte au Département du Commerce pour action. Enfin, les citoyens européens peuvent entamer une procédure d’arbitrage ou une procédure judiciaire à l’encontre de la société concernée. Le G29 trouve ces mécanismes insuffisants. Il regrette que le Département du Commerce ne donne pas de garantie sur le traitement des plaintes qu’elle recevra des citoyens européens. Cependant, la Cnil elle-même ne donne pas de garantie sur l’issue des plaintes qu’elle reçoit, donc cette critique nous semble exagérée. Le G29 critique ensuite le niveau faible de sanctions, mais là encore, cette critique ne semble pas justifiée compte tenu des pouvoirs de sanction de la FTC. Le G29 souligne la nécessité pour les entreprises américaines d’avoir des mécanismes internes en place pour détecter d’éventuels manquements.

Pouvoirs accrus des renseignements
Cette critique nous semble sévère, car la plupart des grandes entreprises américaines ont déjà des procédures de conformité qui permettent de détecter et sanctionner des manquements aux règles de l’entreprise. Dans la mesure où le Privacy Shield sera intégré dans ces programmes de conformité, les mécanismes internes de détection seront probablement très efficaces.
La partie la plus troublante de l’avis du G29 concerne la critique des pouvoirs des agences de renseignements aux Etats-Unis. Le pouvoir étendu des autorités de renseignement est un point sensible aux Etats-Unis comme en Europe. Les défenseurs de libertés individuelles critiquent les Etats-Unis mais également les gouvernements de pays européens pour avoir augmenté considérablement les pouvoirs d’agences de renseignement sans mesures de contrôle. Avec ses lois sur le renseignement et sur l’interception des communications internationales, la France suit cette tendance, ce qui est compréhensible compte tenu de l’augmentation du risque terroriste. Cependant, le G29 critique le système américain sans prendre en considération le fait que l’équilibre trouvé aux Etats-Unis entre les libertés des individus et les impératifs de lutte contre le terrorisme est similaire à l’équilibre trouvé en France en matière d’activités de renseignement. Comme la loi française, la loi américaine fait une distinction entre les enquêtes de police, et les activités de renseignement. Le traitement des données dans le cadre des enquêtes de police aux Etats-Unis (comme en France) est généralement respectueux des droits et libertés individuels. Les résidents européens sont dorénavant mieux protégés aux Etats-Unis en raison de l’adoption du « Judicial Redress Act » qui donne aux Européens certains droits de recours réservés auparavant aux résidents américains. En matière d’enquêtes de police, la situation est donc globalement satisfaisante. Le problème le plus délicat réside dans les activités de renseignement.
Le G29 dénonce l’imprécision de la loi américaine sur ce que peut constituer une menace pour la sécurité nationale. Mais cette définition n’est pas moins précise que celle contenue dans le code français de la sécurité intérieure. Le G29 reconnaît l’existence de mesures de contrôle interne efficaces au sein des autorités américaines de renseignement, mais regrette l’absence d’un organe de contrôle plus indépendant, de préférence judiciaire. Pourtant, là aussi, la situation des Etats-Unis n’est pas différente de celle de la France. Le G29 critique l’absence d’encadrement des mesures de surveillance conduites en dehors des Etats-Unis, mais oublie de mentionner que cette même critique pourrait s’appliquer à la France. En résumé, le système américain est critiqué parce qu’il ne correspond pas à un idéal européen en matière de protection de droits individuels dans le cadre d’activités de renseignement, alors que cet idéal n’existe pas sur le terrain dans de nombreux pays européens, dont la France. Cela revient à dire : « Fais ce que je dis, pas de que je fais ! ».
En matière d’activités de renseignement, le dispositif Privacy Shield inclut des avancés pour la protection des citoyens européens, et notamment un nouveau droit d’accès indirect, à l’instar de celui qui existe en France. Une personne qui se demande si elle est fichée par les services de renseignement américains peut effectuer une demande auprès de son autorité locale de protection des données à caractère personnel. Celle-ci transmettra la demande à un haut fonctionnaire du département d’Etat aux Etats-Unis (6). Celui-ci s’engage à vérifier la régularité de toute mesure de surveillance. C’est l’équivalent de ce qui existe en France pour les fichiers de renseignement (7). Ce nouveau dispositif n’est disponible qu’aux résidents européens; les américains n’y ont pas accès. Le gouvernement américain s’est également engagé à appliquer à l’égard des Européens la plupart des protections qui existent à l’égard d’américains.
Certaines des critiques du G29 seront probablement pris en compte par la Commission européenne et le gouvernement américain. On pense par exemple au principe de limitation de durée de conservation des données, qui sera peut-être mieux articulé dans un Privacy Shield amélioré.

Vers une contestation en justice ?
D’autres critiques, notamment celles visant les activités de renseignement aux Etats-Unis, ne pourront probablement pas être prises en compte. La Commission européenne émettra sa décision sur le caractère « adéquat » du dispositif au cours du mois de juin, et le Privacy Shield deviendra un outil juridiquement opposable pour le transfert de données aux Etats-Unis.
Cependant, certaines autorités de protection des données personnelles – notamment en Allemagne – ont d’ores et déjà signalé leur intention d’attaquer le Privacy Shield en justice. Les entreprises resteront par conséquent dans l’incertitude sur la robustesse du nouveau bouclier. @

A l’ère numérique, peut-on encore invoquer le droit à la vie privée – dont la définition reste floue ?

La notion de « vie privée » est très relative en raison de sa nature protéiforme
et évolutive. Le dispositif légal doit, quant à lui, s’adapter en permanence aux nouvelles pratiques sur Internet. Dans ce contexte, quelles mesures prendre
pour préserver le droit à la vie privée, ou du moins ce qu’il en reste ?

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

S’agit-il d’un débat dépassé comme le suggère le titre d’un livre au titre provocateur : « La vie privée, un problème de vieux cons ? »
(1) ? Certains n’hésitent pas à prôner une nouvelle « norme so-
ciale », à l’instar de Mark Zuckerberg, fondateur de Facebook,
lequel considère que « les gens sont désormais à l’aise avec l’idée de partager plus d’informations différentes, de manière plus ouverte
et avec plus d’internautes ».

Toujours pas de définition légale
La notion de vie privée ne connaît aucune définition légale. Au XXIe siècle, elle n’a
rien à voir avec celle du siècle précédent ou encore moins celle du XVIIe siècle. Comme le concept de « vie privée » n’était guère consacré, sa protection ne pouvait être envisagée. Le Code civil de 1804 ne contenait aucune disposition protectrice de
la vie privée – si ce n’est les articles 675 à 679 réglementant les ouvertures sur la propriété du voisin, contribuant à préserver une intimité souhaitable dans les relations du voisinage. Mais ces dispositions relevaient du droit des biens et n’étaient pas conçues comme des droits relatifs à la personne. Au cours du XXe siècle, avec l’apparition de moyens techniques de plus en plus performants (notamment les appareils photo et les caméras), la doctrine a commencé à s’intéresser à la protection de la vie privée. Néanmoins, il a fallu attendre 1970 pour voir consacrer en France le droit à la vie privée, au sein de l’article 9 du Code civil, toujours en vigueur : « Chacun a droit au respect de sa vie privée ». Si la loi du 17 juillet 1970 a également créé diverses incriminations en matière d’atteinte à la vie privée qui ont été reprises dans le Code pénal de 1992 (aux articles 226-1 et suivants), aucune définition légale ne permet de cerner la notion de vie privée. Ce droit n’est pas non plus défini dans les textes internationaux qui se contentent de protéger la vie privée dans son principe, au même niveau que la famille, le domicile, les correspondances, l’honneur et la réputation. Il s’agit en quelque sorte du « noyau dur » international de la vie privée. Pour autant, la vie privée est protégée par de nombreux textes à portée internationale (2). En l’absence de définition légale et doctrinale plus précise, c’est la jurisprudence qui a tenté de discerner ce qui relevait ou non de la vie privée. Les juges déterminent, au fur et à mesure, les éléments qui entrent dans le champ de la vie privée. Ils sanctionnent depuis longtemps la diffusion de photographies prises à l’insu de l’intéressé (3). Ces actions sont le plus souvent fondées, outre l’article 9 du Code civil, sur l’article 226-1 du Code pénal qui incrimine le fait de fixer, d’enregistrer ou de transmettre l’image d’une personne se trouvant dans un lieu privé – sans le consentement de celle-ci. L’article 226- 2 sanctionne des peines d’un an d’emprisonnement et 45.000 euros d’amende « le fait de conserver, porter ou laisser porter à la connaissance du public ou d’un tiers ou d’utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l’aide de l’un des actes prévus par l’article 226-1 ». Des peines complémentaires sont prévues à l’article 226-3, telles que l’interdiction de droits civiques, civils et de famille
ou encore l’affichage ou la diffusion de la décision prononcée. Une personne morale encourt, quant à elle, une amende égale au quintuple de celle prévue pour les personnes physiques, ainsi que l’interdiction (4) d’exercer, directement ou indirectement, l’activité professionnelle ou sociale dans l’exercice ou à l’occasion
de laquelle l’infraction a été commise et l’affichage ou la diffusion de la décision prononcée.
Mais l’article 226-1 précité pose deux conditions : les images doivent être captées
« dans un lieu privé » et l’intéressé n’a pas consenti à la prise de vue. Comment
dans ces conditions sanctionner les préjudices consécutifs à la pratique des selfies (autoportraits) – surtout celle des selfies en groupe, à l’aide de perches à selfie ? Ils provoquent des incidents, des personnes se trouvant dans l’entourage immédiat sont prises en photo à leur insu et découvrent leur photo sur Internet, parfois dans des postures qui portent atteinte à leur image, leur réputation et leur dignité ?

Continuer à adapter le dispositif répressif
Comment sanctionner le revenge porn, une pratique odieuse qui consiste pour des ex-conjoints à régler leurs comptes sur la Toile, en publiant notamment sur les réseaux sociaux, des photos et vidéos compromettantes de leur ex avec pour objectif de nuire
à leur réputation. Le projet de loi « Economie numérique » prévoit d’élargir l’infraction visée par l’article 226-1 aux photos prises dans des lieux publics et l’auteur n’échappera aux poursuites qu’en cas de consentement exprès de la personne photographiée à la diffusion de son image ou de sa voix. Les peines devraient être renforcées en les portant de un an à deux ans de prison et de 45.000 euros à 60.000 euros d’amende.
Un amendement propose également de rajouter l’image ou la voix d’une personne, quand l’enregistrement, l’image ou la vidéo sont sexuellement explicites. En attendant, certains optent pour des mesures préventives, à l’exemple du Festival de Cannes,
du Château de Versailles ou encore du Musée MoMA (5) à New York qui interdisent l’utilisation des perches à selfies, ou encore militent pour des clauses d’inspiration américaine prévoyant expressément qu’en cas de divorce les futurs exconjoints s’engagent à « ne pas poster, tweeter ou d’aucune manière partager sur les réseaux sociaux des images ou tout contenu positif, négatif, insultant, embarrassant ou flatteur sur l’autre » !

Selfies, revenge porn, happy slapping, …
Quant à la pratique du happy slapping ou vidéo-lynchage – filmer à l’aide d’un téléphone portable des actes de violence et de les diffuser sur Internet –, elle a pu être sanctionnée au titre d’une infraction de violences volontaires pour condamner l’auteur de l’agression, et de non-assistance à personne en danger et d’atteinte à la vie privée pour poursuivre l’auteur de la vidéo. C’est sur ces fondements qu’un lycéen a pu être condamné : il avait filmé, au moyen de son téléphone portable, l’agression dont son professeur avait été victime et avait fait circuler la vidéo (6). Depuis la loi « Prévention de la délinquance » de 2007 (7), l’infraction est sanctionnée sur le fondement de l’article 222-33-3 du Code pénal qui établit une triple distinction entre l’auteur de l’atteinte volontaire à l’intégrité d’autrui, le complice de l’auteur des violences, qui filme l’agression et qui s’expose ainsi aux mêmes peines que son auteur, et la personne qui diffuse la vidéo ainsi enregistrée, acte constituant une infraction autonome passible de cinq ans d’emprisonnement et de 75.000 euros d’amende. Une exception à l’application de l’article 222-33-3 du Code pénal est cependant prévue au dernier alinéa, lorsque l’enregistrement ou la diffusion résulte de l’exercice normal d’une profession ayant pour objet d’informer le public ou encore lorsqu’il est réalisé afin de servir d’élément de preuve en justice. C’est en application de ce texte qu’ont été condamnés deux prévenus : le premier pour violences volontaires, pour avoir ligoté sa victime avec du film alimentaire et enfermé dans une chambre froide ; le second pour complicité de violences volontaires, ce dernier ayant sciemment enregistré la scène avec son téléphone portable, sans pour autant l’avoir diffusée sur Internet (8). Mais la liste des atteintes à l’intégrité d’un individu est limitative (9). Ainsi, seul le fait de filmer des actes de tortures et de barbarie, des actes de violence d’une plus ou moins grande gravité,
un viol ou toute agression sexuelle, commis sur autrui, est susceptible d’être sanctionné par cet article. Il faudra donc continuer à adapter le dispositif répressif aux pratiques de cybervengeance et cyberharcèlement qui fleurissent sur le Net (lire encadré ci-dessous). La notion de vie privée est indissociable de celle de donnée à caractère personnel. Les données personnelles sont devenues l’une des composantes à part entière de l’identité et de la personnalité des individus. À ce titre, il faut « augmenter
les pouvoirs de sanction de la Commission nationale de l’informatique et des libertés (Cnil) ». Mais cela ne suffit pas. Il est en effet urgent d’intensifier l’« éducation » à la protection des données pour que chacun apprenne à fixer les frontières de sa vie privée. Le règlement européen sur la protection des données à caractère personnel a opéré un virage historique en fixant un cadre, dans le respect des valeurs humanistes européennes, avec une plus grande responsabilisation des individus. Mais si le principe est séduisant, encore faut-il constater que la plupart des individus attacheraient une valeur faible à la protection de leurs données personnelles. Selon certaines études, près d’un tiers des internautes interrogés donnerait un large accès à leurs données
« moyennant des contreparties financières » (10). C’est dire que le consentement ne suffit pas à protéger l’individu puisque ce dernier fait prévaloir l’avantage immédiat, démontrant s’il en est besoin qu’il n’a pas conscience de la gravité des risques ultérieurs d’atteinte à sa vie privée. Ne serait-il pas temps également d’« inscrire explicitement dans la Constitution le droit au respect de la vie privée et l’exigence de protection des données à caractère personnel afin de réévaluer l’importance accordée à ces libertés fondamentales en droit interne ? » Cette consécration rapprocherait la France de plusieurs autres pays européens, notamment de l’Allemagne et la Grèce, rappelant combien protection de la vie privée doit rester une liberté fondamentale au XXIe siècle. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Trois grandes séries de mesures pourraient être prises
• Renforcer les pouvoirs de sanction de la Commission nationale de l’informatique et des libertés (Cnil).
• Mettre en place des instruments pour « renforcer la protection des droits fondamentaux face à l’utilisation (des données à caractère personnel) à des fins industrielles et commerciales et la maîtrise par les individus de leurs informations personnelles ». Dans cet objectif, les garanties technologiques (11) constituent certainement des mesures préventives protectrices. Il convient donc d’encourager
les démarches de type « privacy by design » (prise en compte de la vie privée dès la conception du dispositif technique) et de « privacy by default » (protection de la vie privée « par défaut » dans les paramètres).
• Intensifier l’« éducation » à la protection des données, inculquer avec force une
« hygiène informatique », selon l’expression consacrée par l’Anssi (12), pour permettre
à la personne concernée de fixer elle-même les frontières de sa vie privée. Il faut donc agir avant tout sur le terrain de « la culture », compter « sur la persuasion et la prise de conscience des internautes et des professionnels quant aux enjeux cruciaux du respect de la vie privée sur le Web ». Il faut convaincre les internautes dès leur plus jeune âge (13). @

Pub en ligne : après les ad-blockers, le Dot Not Track

En fait. Le 14 septembre, ZenithOptimedia (agence du groupe Publicis) a affirmé que les dépenses publicitaires sur Internet dans le monde (mobiles compris) dépasseront en 2018 celles de la télévision ! Mais c’est sans compter les logiciels de blocage publicitaires (ad-blockers) et bientôt… le DNT.

En clair. Les acteurs de la publicité en ligne dans le monde en prennent conscience progressivement : ils vont devoir s’entendre pour s’autoréguler et mieux standardiser leurs annonces publicitaires, afin que les internautes et les mobinautes déjà saturés ne les rejettent encore plus massivement à l’aide de ad-blockers. Ces petits logiciels de blocage publicitaire sont devenus le cauchemar des publicitaires et des médias en
ligne : plus de 198 millions d’utilisateurs dans le monde – dont 77 millions en Europe – les ont déjà activés sur leur navigateur ou sur leur smartphone (1) pour ne plus être importunés jusque dans leur vie privée. Ces outils de filtrage sont proposés par des sociétés telles que l’américain Adblock ou l’allemand Eyeo, qui affirment ne pas être contre la publicité sur Internet. Ils disent cependant vouloir inciter les professionnels
de la e-pub non seulement à standardiser les formats publicitaires mais aussi à s’autoréguler pour ne plus tomber dans l’intrusif ni violer la vie privée des personnes ciblées. Aux Etats-Unis, par exemple, l’Electronic Frontier Foundation (EFF) milite
pour que les éditeurs de services en ligne qui souhaitent ne pas voir leurs publicités bloquées rejoignent le programme « Do Not Track ». En cours d’adoption au sein du W3C (2), ce DNT permet aux internautes de signifier à leur navigateur – Firefox de Mozilla a été le premier en 2011 à le proposer, suivi des autres – qu’ils ne veulent pas être suivis, via des cookies notamment, par les sites web ni par leurs annonceurs publicitaires. « Vous ne me tracez pas et je vous laisse me montrer vos pubs » : tel pourrait être le deal à venir entre utilisateurs et éditeurs. La polémique actuelle entre
les ad-blockers et les sites web – ces derniers considérant comme du racket le fait
de devoir payer les premiers pour ne pas voir les e-pubs bloquées (3) – pourrait se déplacer sur le terrain de la protection de la vie privée sur Internet, en guise de
« compromis » entre les internautes et les éditeurs de contenus.

En Europe, le débat n’en est pas là. Selon une étude de la société new-yorkaise Secret Media (fondée par deux Français), qui tente de s’opposer aux ad-blockers, la pratique anti-pub prend de l’ampleur sur le Vieux Continent. Apple y contribue en proposant avec son nouvel iOS9 une extension de blocage publicitaire sur le Web. @