Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture

Taxation des GAFAM : l’annulation du redressement fiscal d’Apple illustre les velléités de l’Europe

Si la Commission européenne fait appel de l’arrêt du Tribunal de l’UE qui a annulé le 15 juillet sa décision condamnant Apple à rembourser l’Irlande de 13 milliards d’euros d’avantages fiscaux, le verdict final interviendra en 2021. Sinon, l’affaire sera close. Retour sur un jugement qui fera date.

(Au moment de la publication de cet article dans le n°241 de Edition Multimédi@, la Commission européenne annonçait qu’elle faisait appel du jugement « Apple-Irlande »)

Par Fabrice Lorvo (photo), avocat associé, FTPA

La révolution numérique, en dématérialisant l’achalandage, a entraîné, brutalement, une redistribution du partage de la valeur en faveur de certains distributeurs à savoir les GAFAM (1) et en défaveur des producteurs (de produits et de services). Cette captation par les géants dominants d’Internet se fait aussi au détriment des Etats, notamment européens, car si ces Big Tech affichent une prospérité démesurée, leurs contributions par le biais de l’impôt demeurent souvent symboliques. A la suite d’articles de presse indiquant, sur les révélations « LuxLeaks » du consortium international de journalistes d’investigation ICIJ, que des grandes entreprises – dont Apple et Amazon – avaient bénéficié d’importantes réductions d’impôts, accordées par des autorités fiscales nationales, au moyen de « décisions anticipatives en matière fiscale » ou tax rulings (2), la Commission européenne avait ouvert le 11 juin 2014 une enquête pour vérifier la conformité de ces pratiques au regard des règles de l’Union européenne (UE) en matière d’aides d’Etat.

Le « LuxLeaks » révélé en 2014
Elle en a finalement dénoncé le mécanisme. L’enquête a notamment visé deux filiales (à 100 %) de droit irlandais du groupe Apple : Apple Sales International (ASI) et Apple Operations Europe (AOE). ASI est chargée d’acheter des produits Apple et de les vendre notamment en Europe. AOE, elle, fabrique certaines gammes d’ordinateurs pour le groupe Apple. Ces deux filiales irlandaises de la marque à la pomme sont titulaires de licences de propriété intellectuelle (PI) pour l’achat, la fabrication, la vente et la distribution de produits du groupe Apple en dehors du continent américain. Ces licences PI ont contribué de manière considérable au revenu de ces deux sociétés. Du fait de leurs processus de vente, toutes les ventes réalisées par ASI ou AOE dans les différents pays européens (dont la France) étaient réputées faites directement en Irlande. De plus, ces deux filiales d’Apple déclaraient, chacune, n’avoir qu’une succursale en Irlande et leur siège en dehors de l’Irlande. En conséquence, Continuer la lecture

Piratage des contenus sportifs : vers de nouveaux moyens d’une lutte efficace après le déconfinement ?

Comme par magie, le piratage sur Internet des retransmissions sportives en direct a disparu avec l’annulation de la plupart des rencontres et des épreuves, en raison de la pandémie de covid-19. Mais avec la sortie progressive du confinement à partir du 11 mai, le live streaming sportif illicite reprendra.

Par Richard Willemant*, avocat associé, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude de l’Hadopi réalisée avec l’Ifop et publiée le 14 avril, 13 % des internautes interrogés regardaient encore fin mars des retransmissions sportives en direct durant le confinement – bien que beaucoup de rencontres ont été annulées depuis. Et tous biens culturels confondus, le piratage en ligne a légèrement diminué en un an pour représenter 21 % de leur consommation (1). En mai 2019, l’Hadopi publiait une autre étude avec l’Ifop où 45 % des consommateurs de contenus sportifs en live-streaming en France déclaraient s’être désabonnés d’une offre légale pour consommer le même contenu de manière illégale (2).

Le cadre juridique actuel inadapté
Les dommages causés aux entreprises titulaires d’une licence d’exploitation audiovisuelle des manifestations sportives (3) sont considérables. Le cadre juridique actuel pour lutter contre le streaming illégal est inadapté, tout particulièrement pour les contenus sportifs qui sont par nature éphémères et qui requièrent donc des mesures efficaces de prévention ou de cessation immédiate des atteintes. Hélas, les délais actuels d’obtention d’une mesure judiciaire de blocage ou de référencement d’un contenu illicite sont incompatibles avec la nécessité d’agir, dans un délai de seulement quelques heures, pour faire interrompre un flux pirate. Le contournement d’une mesure de blocage par la mise en ligne d’un site miroir permettant la poursuite des agissements illicites est également difficile à combattre, puisqu’en l’état du droit français une nouvelle action judiciaire est alors nécessaire. Les diffuseurs peuvent certes, en invoquant leurs droits voisins d’entreprise de communication audiovisuelle, agir en référé (4) ou par la procédure accélérée au fond (5) qui permet de solliciter toute mesure propre à faire cesser une atteinte à leurs droits, notamment un blocage ou un déréférencement du site litigieux. Mais les modalités pratiques de ces procédures nécessitent l’obtention d’une autorisation préalable et ne permettent pas d’obtenir une décision à très brefs délais, même par la voie d’une assignation « d’heure à heure ». La voie de la requête (6) – qui permettrait, elle, d’obtenir une décision dans un délai très court – est souvent déconseillée, en raison des risques élevés d’inexécution ou de remise en cause par les intermédiaires techniques, lesquels contestent généralement la réalité des circonstances qui justifieraient de déroger au principe du contradictoire. Le législateur semble avoir pris la mesure de la situation. Le projet de loi française relative à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique (7), qui transpose les directives européennes « Droit d’auteur » (8) et « Services de médias audiovisuels » (9), comprend une réforme du dispositif de lutte contre la contrefaçon sur Internet, en particulier en cas de retransmission illicite des manifestations et compétitions sportives. Le texte, dont l’examen a été déprogrammé fin mars en raison du covid-19 et sera présenté dans quelques semaines, poursuit le bon objectif, mais risque d’aboutir – en dépit des amendements adoptés à ce jour – à une solution inefficace ou trop complexe à mettre en œuvre.
Parmi les mesures-phares du projet de loi, l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), issue de la fusion de l’Hadopi et du CSA, hérite des compétences de ces deux autorités, auxquelles sont ajoutées de nouvelles prérogatives. Parmi les moyens dévolus à l’Arcom, il est prévu l’intervention d’agents habilités et assermentés qui pourront enquêter sous pseudonyme et constater, par procès-verbal, les faits susceptibles de constituer des infractions. Un nouvel article L. 333-11 du Code du sport permettrait aux titulaires de droits d’exploitation des contenus sportifs de saisir l’Arcom afin que ses enquêteurs procèdent à des constatations. La nouvelle autorité aura aussi pour mission de créer une liste noire de sites web portant atteinte de « manière grave et répétée » aux droits d’auteurs. En outre, les prestataires de services publicitaires et les fournisseurs de moyens de paiement devront rendre publique l’existence de relations commerciales avec une personne inscrite sur cette liste noire. L’objectif est double : retracer les flux financiers pour les assécher, selon le principe du « Follow the Money », et inciter ces acteurs aux bonnes pratiques par la sanction d’une publicité négative dite « Name & Shame ».

Vers des ordonnances « dynamiques »
Le projet de loi de réforme de l’audiovisuel prévoit un système d’exécution dynamique des décisions judiciaires, à l’image des « Dynamic Injunctions » obtenues en Angleterre (10) et aux Pays-Bas (11) par la Premier League (le championnat d’Angleterre de football, plus importante compétition britannique du ballon rond), afin de lutter plus efficacement contre les sites miroirs. Dès lors qu’une décision sera passée en force de chose jugée, un titulaire de droit pourra saisir l’Arcom qui aura le pouvoir de « demander à toute personne susceptible d’y contribuer, et pour une durée ne pouvant excéder celle restant à courir pour les mesures ordonnées par le juge, d’empêcher l’accès à tout service de communication au public en ligne reprenant en totalité ou de manière substantielle le contenu » litigieux. Par ailleurs, le titulaire de droits pourra saisir l’autorité de régulation, afin qu’elle demande un déréférencement du contenu.

Sports : mesures difficiles à mettre en œuvre
Pour faciliter l’exécution de ces décisions, l’Arcom adoptera des modèles-types d’accord avec les intermédiaires techniques. En cas d’échec, le titulaire de droits pourra saisir l’autorité judiciaire en référé ou sur requête. Ce nouveau régime serait une avancée, mais il est étonnant qu’il ne soit pas conçu comme un dispositif d’injonction stricto sensu. Le nouvel article L. 333-10 du Code du sport permettra au titulaire des droits d’exploitation audiovisuelle d’une manifestation ou d’une compétition sportive et à la ligue sportive de « saisir le président du tribunal judiciaire, statuant selon la procédure accélérée au fond ou en référé, aux fins d’obtenir toutes mesures proportionnées propres à prévenir ou à faire cesser cette atteinte, à l’encontre de toute personne susceptible de contribuer à y remédier ». Le texte prévoit néanmoins trois conditions : l’atteinte doit être « grave et répétée » ; « l’objectif principal ou l’un des objectifs principaux » du site web doit être « la diffusion sans autorisation de compétitions ou manifestations sportives » ; la mesure doit avoir pour but de « prévenir ou de remédier à une nouvelle atteinte grave et irrémédiable » aux droits d’exploitation. Ces trois conditions cumulatives sont très restrictives et pourraient vider le nouveau dispositif de tout son intérêt. Par ailleurs, il est permis de douter de la conformité de cette disposition aux textes européens et aux engagements internationaux de la France en matière de respect des droits de propriété intellectuelle, car elle ajoute des conditions actuellement non prévues. Enfin, notons que le dispositif est prévu « afin de prévenir ou de remédier à une nouvelle atteinte grave et irrémédiable » dont la charge de la preuve pèse sur le demandeur. Ce nouveau dispositif pourrait hélas se révéler moins utile et efficace que le droit actuel incluant l’action spéciale prévue par l’article L. 336-2 du Code de la propriété intellectuelle (procédure accélérée au fond déjà évoquée plus haut). La suite du texte offre des exemples de ce que le juge pourra ordonner aux fins de faire cesser les atteintes : « au besoin sous astreinte, la mise en œuvre, pour chacune des journées figurant au calendrier officiel de la compétition ou de la manifestation sportive, dans la limite d’une durée de douze mois, de toutes mesures proportionnées, telles que des mesures de blocage, de retrait ou de déréférencement, propres à empêcher l’accès à partir du territoire français, à tout service de communication au public en ligne identifié ou qui n’a pas été identifié à la date de ladite ordonnance diffusant illicitement la compétition ou manifestation sportive, ou dont l’objectif principal ou l’un des objectifs principaux est la diffusion sans autorisation de compétitions ou manifestations sportives ».
Les députés ont aussi étendu le délai initial de mise en œuvre des mesures pour une durée de 12 mois, au lieu des 2 mois prévus initialement, afin de prendre en compte les manifestations sportives de courte durée, comme le tournoi de Roland-Garros, qui pourront être protégées à titre préventif, et de rendre le dispositif plus robuste pour lutter contre les sites miroirs sur Internet. Poursuivant ce même objectif, le texte précise que les mesures peuvent être prises à l’encontre de tout site web contrefaisant, ceci incluant des sites Internet qui n’ont pas été visés par l’ordonnance initiale. Il s’agit d’un dispositif d’exécution dynamique des ordonnances prévu spécialement pour les retransmissions illicites de manifestations sportives. Sous les réserves qui concernent particulièrement l’article L. 333-10 I. du Code du sport, ce texte de loi pourrait constituer une avancée majeure pour endiguer le piratage des contenus sportifs en ligne. Il n’est pas encore trop tard pour que les parlementaires assouplissent les conditions de mise en œuvre pour atteindre un niveau de protection équivalent à celui résultant des décisions de jurisprudence obtenues par la Premier League. Dans une étude conjointe, l’Hadopi et le CSA soutiennent que la voie d’endiguement du piratage « sportif » sur Internet et du live streaming illicites passera par le développement de l’offre Over-the-Top (OTT) et par une offre légale moins fragmentée, première cause de piratage. En effet, les internautes qui visionnent du contenu sur des sites Internet illicites ont un profil proche du consommateur de l’offre légale OTT, susceptible, par son développement, de les ramener dans le sérail.

La cherté des offres légales pousse au piratage
Les consommateurs sont souvent repoussés par l’envolée du coût d’accès au sport par la multiplication de l’offre légale. En 2019, pour être sûr de voir jouer Neymar et ses coéquipiers en championnat de France de football de Ligue 1 et au niveau européen en Ligue des Champions, il fallait débourser plus de 50 euros par mois (12). Trop cher, d’autant que ce tarif « contenus » vient s’ajouter à l’abonnement « accès » qui a augmenté avec la fibre optique. Les conditions ne sont pas réunies pour que la consommation audiovisuelle illicite – qui peut prendre plusieurs formes – disparaisse. @

* Richard Willemant, associé du cabinet
Féral-Schuhl/Sainte-Marie, est avocat aux barreaux de Paris et
du Québec, agent de marques de commerce, médiateur
accrédité par le barreau du Québec, délégué à la protection des
données, et cofondateur de la Compliance League.

Affaire Schrems : probable non-invalidation des clauses contractuelles types, fausse bonne nouvelle ?

Alors que le scandale « Cambridge Analytica » continue depuis deux ans de ternir l’image de Facebook, une autre affaire dite « Schrems » suit son cours devant la Cour de justice européenne et fait trembler les GAFAM. Retour sur les conclusions de l’avocat général rendues le 19 décembre 2019.

Par Charlotte Barraco-David, avocate, et Marie-Hélène Tonnellier, avocate associée, cabinet Latournerie Wolfrom Avocats

Les clauses contractuelles types – conformes à la décision prise il y a dix ans maintenant, le 5 février 2010, par la Commission européenne (1) – seraient bien un moyen valable de transfert de données personnelles hors d’Europe (lire encadré page suivante). C’est en tous cas ce que l’avocat général de la Cour de justice de l’Union européenne (CJUE) préconise de juger dans la deuxième affaire « Schrems » (2) qui fait trembler les GAFAM. Reste à attendre de savoir si, comme souvent, la CJUE le suivra. Cette décision, imminente, est attendue non sans une certaine fébrilité.

Schrems II : le retour
Les conclusions de l’avocat général, le Danois Henrik Saugmandsgaard Øe (3), ont été publiées le 19 décembre dernier et s’inscrivent dans le cadre de la saga judiciaire « Schrems », du nom de l’activiste autrichien Maximillian (Max) Schrems qui lutte pour la protection de ses données personnelles face au géant américain Facebook. Cette saga débute en 2013 avec l’affaire « Schrems I ». L’activiste, alors simple étudiant en droit, dépose plainte contre Facebook devant l’équivalent de la Cnil en Irlande (le DPC), le siège européen du groupe américain se trouvant dans cet Etat européen réputé fiscalement accueillant.
Cette première affaire fait suite aux révélations d’Edward Snowden, le lanceur d’alerte qui avait révélé plusieurs programmes américains et britanniques de surveillance de masse. Elle a conduit la CJUE, le 6 octobre 2015, à invalider la décision d’adéquation rendue par la Commission européenne sur laquelle reposait le transfert des données opéré par Facebook Irlande vers sa maison-mère américaine et auto-certifié dans le cadre du Safe Harbour (4), le prédécesseur du Privacy Shield (l’actuel « bouclier de protection des données »). La Cour européenne avait alors considéré que le droit américain présentait des risques trop importants d’ingérence des autorités américaines dans la vie privée des Européens, dont les données étaient transférées vers les Etats-Unis. Et ce, afin que des organismes américains, mêmes de bonne volonté, puissent ainsi bénéficier d’un tel blancseing. Un successeur avait alors rapidement été trouvé au Safe Harbor, en l’occurrence le Privacy Shield, présenté comme plus protecteur (5). Max Schrems a alors reformulé sa plainte auprès de la « Cnil » irlandaise (Data Protection Commissioner), arguant du fait que – les mêmes causes produisant les mêmes effets – ces clauses ne pouvaient pas servir de fondement au transfert de données personnelles vers un Etat aussi intrusif que les Etats-Unis. Tel est l’objet de cette deuxième procédure préjudicielle, l’affaire « Schrems II », laquelle a donné lieu aux conclusions de l’avocat général le 19 décembre 2019.
Le mécanisme des « clauses contractuelles types », lesquelles figurent en annexe et concernent la protection des données, a précisément pour objet de permettre de pallier l’absence de conformité de la législation du pays de destination. Son existence même postule donc que des données peuvent être transférées vers des pays par définition non « adéquats » (terme consacré en la matière), moyennant la mise en place de mécanismes destinés à contrebalancer les effets potentiellement négatifs de la législation de ce pays. Remettre en cause le principe des clauses contractuelles au seul motif que la législation du pays de destination n’assurerait pas un niveau de protection équivalent à celui offert par le règlement général européen sur la protection des données (RGPD) reviendrait donc à priver d’effet son article 46 qui prévoit ces clauses.
Certes, l’avocat général « estime que les “garanties appropriées” [telles que les clauses contractuelles types (…)] doivent assurer que les droits des personnes dont les données sont transférées bénéficient, comme dans le cadre d’un transfert basé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui qui résulte du RGPD, lu à la lumière de la Charte [des droits fondamentaux de l’Union européenne] ». Il précise toutefois que « la manière dont la continuité du niveau élevé de protection est préservée diffère en fonction de la base juridique du transfert ».

Décision d’adéquation et clauses contractuelles
Dès lors, le problème n’est pas – et ne doit pas être – la validité des clauses contractuelles, mais celui de l’effectivité des garanties de protection des données effectivement en place. Cela implique que le destinataire respecte les clauses, sans en être empêché par son droit local, ce qui est de la responsabilité du responsable du traitement donnant accès aux données de garantir. Le mécanisme des clauses contractuelles repose donc, dans la droite ligne du RGPD (6), sur la « responsabilisation de l’exportateur ainsi que, à titre subsidiaire, des autorités de contrôle ». La question de la validité des clauses ne devrait ainsi dépendre que du point de savoir « s’il existe des mécanismes suffisamment solides permettant d’assurer que les transferts fondés sur les clauses contractuelles types soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer », par exemple en raison d’une législation du pays de destination faisant obstacle au respect des obligations contractuelles souscrites par le destinataire des données.

Importateur et exportateur de données
Et en l’espèce, l’avocat général considère que tel est bien le cas des clauses résultant de la décision de 2010, telle que modifiée suite à l’affaire « Schrems I » par la décision de la Commission européenne du 16 décembre 2016 (7). En effet, au sein de ces clauses, la clause 5 intitulée « Obligations de l’importateur de données », le premier alinéa prévoit que s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, « l’importateur des données » doit en informer « l’exportateur de données ». Ce dernier est alors fondé à (et devrait) suspendre le transfert « et/ou » résilier le contrat. Autrement dit, le pourvoyeur de ces données est tenu de stopper leur transfert, si son analyse le conduit à estimer que le risque pour la vie privée des personnes est important au regard des caractéristiques propres du traitement et de ce que les autorités de l’Etat tiers intrusif risquent de faire des données. De plus, le RGPD oblige les autorités de contrôle – si les « Cnil » estiment qu’un transfert ne respecte pas les droits des personnes concernées – à prendre des mesures pouvant aller jusqu’à ordonner la suspension du transfert (8).
La vision de l’avocat général apparaît donc conforme à la lettre et à l’esprit du RGPD : emplie de subtilité et d’une pointe de contradiction. Qu’il revient à ceux qui y sont soumis d’analyser, d’apprécier, et d’appliquer, en leur âme et conscience et surtout responsabilité. De quoi attiser un peu plus le sentiment anxiogène que laisse la lecture de ce texte pour ceux qui y sont soumis. Une invalidation claire et nette des clauses semblerait presque préférable. D’autant que, sur le fond, une telle invalidation serait l’occasion pour la Commission européenne de revoir sa copie pour mettre ces clauses à jour par rapport au RGPD. Rappelons en effet que les obligations imposées au destinataire hors Europe, lequel se trouve être sous-traitant en vertu de ces clauses, ne coïncident pas parfaitement avec celles qui doivent désormais être posées dans tout contrat de sous-traitance (avec ou sans transfert) en vertu de l’article 28 dudit RGPD.
Ne reste désormais qu’à savoir si la CJUE suivra son avocat général. A cet égard, si ses conclusions ne lient pas la Cour européenne, l’on remarque qu’elles l’inspirent souvent. @

FOCUS

Transferts de données personnelles hors de l’EEE
Comme avant lui l’article 26 de l’ancienne directive européenne de 1995 (promulguée il y a 25 ans) sur la protection des données personnelles en Europe (9), l’article 46 du fameux RGPD (10) interdit par principe le transfert de données personnelles hors de l’Union européenne (UE), ou plus précisément hors de l’Espace économique européen (EEE).
Cet EEE, dont le comité mixte du 6 juillet 2018 a incorporé le RGPD dans son accord de 1994, est constitué des pays membres de l’UE, de l’Islande, de la Norvège et du Liechtenstein, pays auxquels il faut désormais ajouter, au moins provisoirement, le Royaume-Uni depuis le Brexit (11). Par transfert de données personnelles « hors d’Europe », les autorités de protection – que sont les équivalents de la Cnil en France – entendent aussi bien le déplacement physique de données que le simple accès depuis un pays situé hors de l’EEE à des données personnelles stockées sur le sol européen. En matière de transferts de données personnelles hors d’Europe, le RGPD pose un principe d’interdiction, assorti toutefois d’exceptions notables :
• Les transferts vers les pays dits adéquats (article 45 du RGPD). Il s’agit des transferts vers des pays hors d’Europe, dont la législation a été reconnue par la Commission européenne comme suffisamment protectrice au regard des standards européens. Si certains de ces pays peuvent sembler anecdotiques (Iles Féroé ou Guernesey par exemple), d’autres le sont beaucoup moins puisque figurent parmi eux les Etats-Unis. Dans ce cas particulier, la législation américaine n’est toutefois réputée adéquate qu’au bénéfice des organismes auto-certifiés dans le cadre du dispositif du « bouclier » Privacy Shield.
• Les transferts encadrés par des garanties appropriées (articles 46 et 47 du RGPD). Il s’agit cette fois de mécanismes conventionnels visant à pallier l’absence de décision d’adéquation du pays de destination. Les plus pratiqués sont les règles d’entreprises contraignantes (les « Binding Corporate Rules ») et les fameuses clauses contractuelles types de la Commission européenne (décision européenne de 2010, modifiée en 2016, notamment). Ces dernières sont très simples à mettre en œuvre en pratique : il s’agit d’un modèle de contrat qui doit être signé tel quel. Aucune de ses clauses ne peut être librement négociée. Seules les annexes décrivant le transfert doivent être complétées, selon un formalisme lui aussi imposé.
• Les transferts en vertu des dérogations particulières (article 49 du RGPD). Ces dérogations-là sont conçues de manière tellement exceptionnelle par les autorités de protection qu’elles n’ont pas vocation à s’appliquer à des transferts de données massifs ou structurels (12). Parmi ces dérogations, figurent notamment le consentement explicite des personnes concernées, ou encore les nécessités (réelles) de l’exécution d’un contrat particulier, un contrat de réservation d’hôtel à l’étranger par exemple. @

Cookies : l’écosystème de la publicité ciblée s’organise en attendant la recommandation finale de la Cnil

C’est en avril que la Cnil devrait publier sa recommandation finale sur « les modalités pratiques de recueil du consentement » des utilisateurs au dépôt de « cookies et autres traceurs » sur leurs terminaux. Retour sur le projet de recommandation, qui est contesté par les éditeurs et les publicitaires.

Par Sandra Tubert et Laura Ziegler, avocates associées, BCTG Avocats

Alors que l’adoption du règlement européen « ePrivacy » patine depuis déjà trois ans (1), certaines « Cnil » européennes – allemande, anglaise, française, espagnole et grecque – ont décidé de prendre les devants en adoptant leurs propres lignes directrices sur les règles attendues en matière de cookies et autres technologies de traçage. En juin 2019, en France, la Cnil (2) a annoncé son plan d’action en matière de publicité ciblée. Au menu : l’adoption de lignes directrices dans une délibération datée du 4 juillet 2019 rappelant les règles de droit applicables en matière de cookies (3), complétées d’un projet de recommandation publié le 14 janvier dernier précisant les modalités concrètes de recueil du consentement.

Un cadre plus strict et peu pragmatique
Ce projet de recommandation (4), dont la version finale devrait être adoptée courant avril, a été soumis à consultation publique, laquelle s’est achevée le 25 février avec un taux de participation étonnement très relatif (5). L’abandon de la poursuite de la navigation comme modalité valide de recueil du consentement – modalité qui prévalait jusqu’alors puisque préconisée dans la recommandation de la Cnil de 2013 – est l’une des annonces phares de la Cnil. En effet le consentement tel que défini dans le règlement général européen sur la protection des données (RGPD) doit être spécifique, éclairé, univoque et libre (6). Pour satisfaire à ces quatre critères, la Cnil détaille dans ses deux textes ses attentes vis-à-vis des professionnels pour recueillir un consentement valide pour le dépôt et la lecture de cookies. Elle prend néanmoins le soin de préciser, dans son projet de recommandation, que les exemples de modalités pratiques y figurant ne sont ni prescriptifs ni exhaustifs. Les professionnels peuvent donc choisir d’autres modalités, dès lors qu’elles sont conformes aux exigences de qualité du consentement posées par le RGPD. Il est alors surprenant de constater que malgré cette annonce et le délai de grâce de six mois laissé aux sociétés pour se mettre en conformité, la Cnil précise sur son site Internet : que des contrôles seront mis en place six mois après l’adoption de sa recommandation définitive pour en vérifier le respect pratique, et que le respect des règles en matière de cookies est l’un des trois axes prioritaires du plan de contrôle pour 2020 de la Cnil (7). Ce projet de recommandation a également été l’occasion pour la Cnil d’insérer, dans chacune des sections, des « bonnes pratiques » qui sont en réalité – et de son propre aveu – des pratiques « permettant d’aller au-delà des exigences légales » (8). Concernant le premier critère, à savoir le caractère éclairé du consentement, celui-ci s’entend comme la fourniture – au moyen de termes simples et compréhensibles par tous – d’une information sur les différentes finalités pour lesquelles les cookies seront utilisés, les acteurs qui les utiliseront et la portée du consentement. Pour satisfaire ce point, exit les terminologies juridiques ou techniques complexes ou le simple renvoi vers les conditions générales d’utilisation (CGU) : la Cnil attend la fourniture d’une information complète, lisible et mise en évidence au moment du recueil du consentement. En pratique, cela signifierait une information en deux niveaux.
• Dans le premier niveau d’information, il s’agit de mettre à disposition de façon succincte l’identité du ou des responsables du traitement (avec un lien ou un bouton renvoyant à la liste complète des sociétés utilisant les cookies), les finalités des cookies mises en avant dans un intitulé court, accompagné d’un bref descriptif (ainsi que la possibilité d’accéder à une description plus détaillée sur le second niveau via un bouton ou un lien hypertexte), et le droit de retirer son consentement.
• Dans le second niveau d’information, accessible via un lien hypertexte ou un bouton depuis le premier niveau d’information, sont attendues deux listes exhaustives : celles sur les responsables de traitement utilisant des cookies et celles des sites web et applications tiers où la navigation des utilisateurs est suivie. Et c’est bien là toute la nouveauté et la complexité des attentes de la Cnil en la matière.

Fini les seuls boutons « Accepter »
De l’avis général, l’écosystème de la publicité ciblée est un système relativement complexe impliquant un nombre considérable d’acteurs. Attendre de l’éditeur d’un site web, la tenue et la mise à jour de ces deux listes et l’obtention d’un nouveau consentement de l’utilisateur en cas d’ajouts de responsables du traitement qualitativement ou quantitativement substantiel semble peu réaliste et laisse par ailleurs à l’appréciation de chacun le caractère substantiel des changements opérés. Toute cette information doit naturellement être fournie aux utilisateurs sans avoir recours à la pratique des cookies walls, reconnue non valide par la Cnil et le Comité européen de la protection des données (CEPD), puisque non compatible avec le caractère libre du consentement. C’est par ailleurs ce qui pousse la Cnil à préciser que l’utilisateur doit avoir la possibilité d’accepter ou de ne pas accepter le dépôt de cookies pour que l’on puisse valablement considérer que son consentement est « libre ». Pour ce faire, les mêmes modalités techniques et de présentation doivent s’appliquer à la capacité de consentir ou de refuser (9). Fini donc les boutons « Accepter » mis en évidence et les petits liens « En savoir plus », dont l’identification incertaine était laissée au soin des utilisateurs, lesquels devaient en déduire qu’ils étaient là pour paramétrer ou refuser le dépôt de cookies. Désormais, l’utilisateur devra se voir proposer des boutons identiques pour refuser ou accepter le dépôt de cookies.

Des délibérations et exigences critiquées
Par ailleurs, le consentement et le refus de consentement devront être enregistrés pour une durée identique – de 6 mois d’après la Cnil – de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur, afin de ne pas le pousser par cette pression répétée à accepter par lassitude. Pour répondre au caractère spécifique du consentement, la Cnil exige également qu’il soit possible pour l’utilisateur de consentir de manière granulaire pour chaque finalité distincte. Différentes modalités semblent acceptées par l’autorité de contrôle : soit sur le premier niveau d’information, soit sur le second. Le consentement global – et donc le bouton « Tout accepter » – est toutefois possible à condition : d’avoir présenté toutes les finalités au préalable, de permettre de consentir par finalité, et de proposer également la possibilité de refuser de façon globale. En pratique donc, devraient fleurir des boutons « Tout accepter », « Tout refuser » et « Paramétrer/Personnaliser », de même taille, de même police et mis en évidence de manière identique pour être conforme aux exigences de la Cnil.
Enfin, pour respecter le caractère univoque comme le caractère libre, la Cnil interdit la pratique des cases pré-cochées, des interrupteurs sur la position activée par défaut et l’acceptation des cookies par les CGU, l’objectif étant que l’utilisateur effectue un acte positif pour mieux prendre conscience du choix qu’il réalise. Les attentes de la Cnil sont donc extrêmement exigeantes envers les éditeurs de sites web et d’applications mobiles, d’autant plus que ces deux délibérations – lignes directrices du 4 juillet 2019 et projet de recommandation – sont à l’heure actuelle assez éloignées des pratiques existantes sur le marché. Il n’est dès lors pas étonnant qu’elles aient fait l’objet de vives contestations par les acteurs de l’écosystème : recours devant le Conseil d’Etat (10) déposé le 18 septembre 2019 par neuf grandes associations professionnelles contre les lignes directrices de la Cnil ; tribunes, lettres ouvertes et prises de position (11) du Collectif pour les acteurs du marketing digital (CPA), de l’Udecam (12) et du Geste (13), reprochant à la Cnil de ne pas avoir pris en compte les propositions des représentants exprimées lors de la concertation engagée par la Cnil entre la publication des lignes directrices et l’adoption du projet de recommandation. Outre la contestation des différents acteurs dont le modèle économique s’est construit autour de la publicité ciblée, se pose également la question de la compatibilité de la multiplicité des lignes directrices publiées ces derniers mois par les différentes autorités de contrôles en Europe. Dans un monde globalisé où Internet est par essence transfrontalier, la publication de lignes directrices aux exigences divergentes par les autorités de contrôle européennes pousse les acteurs désireux de se mettre en conformité à des arbitrages, parfois hasardeux, qui ne sont pas souhaitables. Comme pour justifier le contenu de son projet de recommandation, la Cnil a publié en même temps que ce dernier, les chiffres d’un sondage Ifop (14) dont les résultats sont saisissant de paradoxes. En effet, alors que 70 % des personnes interrogées pensent qu’il est indispensable d’obtenir à chaque fois leur accord au risque d’alourdir leur navigation, 65 % pensent que les demandes d’autorisation de dépôt des cookies ne sont pas efficaces pour protéger leur vie privée. Pire encore : 90% considèrent qu’en plus de consentir, elles devraient connaître l’identité des entreprises susceptibles de suivre leur navigation sur le Web via des cookies, alors que différents sondages précisent que 89 % d’entre elles ne prennent pas le temps de lire ce à quoi elles consentent en ligne.
Face aux difficultés de mise en œuvre pratique du projet de recommandation de la Cnil, aux impacts significatifs que ses exigences pourraient avoir, le modèle des cookies se retrouve plus largement questionné. Google a annoncé – le même jour de la publication du projet de recommandation de la Cnil – son intention de faire disparaître les cookies tiers de son navigateur Chrome d’ici deux ans en optant pour une « Privacy Sandbox », tout comme l’avaient auparavant annoncé Apple avec Safari et Mozilla avec Firefox. Même Criteo – sous le coup d’une enquête de la Cnil suite à une plainte de Privacy International (15) – tente de rassurer en annonçant avoir des solutions qui fonctionneraient sans cookies (16).

Paramètres des navigateurs et des OS
Dans ce contexte, on peut légitimement s’interroger sur la nécessité d’utiliser de nouveaux outils qui pourraient permettre, à la fois, de répondre aux enjeux du modèle économique de la publicité ciblée et de protéger plus efficacement la vie privée des utilisateurs. Une publicité « mieux » ciblée, alignée sur les préférences choisies et affichées des utilisateurs en amont, via un medium à déterminer, ne serait-elle pas une piste à explorer ? De son côté, dans ses deux textes, la Cnil semble en appeler à la modification des paramètres des navigateurs et des systèmes d’exploitation (OS), afin que ceux-ci permettent aux utilisateurs d’exprimer leurs préférences. Cette solution est fortement critiquée par certains acteurs du fait du « monopole » qu’obtiendrait certains GAFAM avec une telle approche. Le débat est ouvert. @