Archives par mot-clé : Application

Le Digital Services Act (DSA) présente un vrai risque pour la liberté d’expression des Européens

Publié le par

Les 19 très grandes plateformes Internet en Europe avaient quatre mois, après avoir été désignées comme telles le 25 avril 2023 par la Commission européenne, pour se mettre en règle avec la législation sur les services numériques (DSA). La liberté d’expression sera-t-elle la victime collatérale ?

La liberté d’expression risque gros en Europe depuis le 25 août 2023, date à laquelle les 19 très grandes plateformes numériques – Alibaba, AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando, Bing, et Google Search – doivent appliquer à la lettre le Digital Services Act (DSA), sous peine d’être sanctionnées financièrement jusqu’à 6 % de leur chiffre d’affaires mondial.

« Définition large » des « contenus illicites »
Cette épée de Damoclès suspendue au-dessus de la tête de ces 19 géants du Net, dépassant chacun plus de 45 millions d’utilisateurs actifs par mois (soit l’équivalent de 10 % de la population de l’Union européenne), pourrait les pousser à faire de l’excès de zèle. Et ce, pour ne pas prendre le risque d’être hors des clous du DSA et de se voir infliger une sanction pécuniaire. Entre leur désignation le 25 avril 2023 comme « Very large Online Platforms » (VLOP) par la Commission « von der Leyen » (photo) et leur mise en conformité avec la législation sur les services numériques, les dix-sept très grandes plateformes et les deux grands moteurs de recherche avaient un délai de quatre mois pour se préparer.
Depuis le 25 août 2023, soit moins d’un an après la publication du règlement au Journal officiel de l’Union européenne (1), le « Big 19 » est censé agir comme un seul homme pour réguler en Europe une grande partie de l’Internet relevant de leurs activités (2). Le DSA les oblige désormais à lutter contre « la diffusion de contenus illicites en ligne et contre les risques pour la société que la diffusion d’informations trompeuses ou d’autres contenus peuvent produire ». Vaste et flou à la fois. Le règlement européen donne en effet à la notion de « contenus illicites » une « définition large » (3). Elle couvre ainsi « les informations relatives aux contenus, produits, services et activités illégaux » ainsi que « des informations, quelle que soit leur forme, qui, en vertu du droit applicable, sont soit ellesmêmes illicites, comme les discours haineux illégaux ou les contenus à caractère terroriste et les contenus discriminatoires illégaux, soit rendues illicites par les règles applicables en raison du fait qu’elles se rapportent à des activités illégales ». Et le DSA de donner des exemples d’« activités illégales » : partage d’images représentant des abus sexuels commis sur des enfants, partage illégal d’images privées sans consentement, harcèlement en ligne, vente de produits non conformes ou contrefaits, vente de produits ou de la fourniture de services en violation du droit en matière de protection des consommateurs, utilisation non autorisée de matériel protégé par le droit d’auteur, offre illégale de services de logement ou vente illégale d’animaux vivants. « En revanche, précise néanmoins le DSA, la vidéo d’un témoin oculaire d’une infraction pénale potentielle ne devrait pas être considérée comme constituant un contenu illicite simplement parce qu’elle met en scène un acte illégal, lorsque l’enregistrement ou la diffusion au public d’une telle vidéo n’est pas illégal ». Pour lutter contre les contenus illicites, et ils sont nombreux, les grandes plateformes du Net doivent assurer – elles-mêmes ou par un intermédiaire, de façon automatisées ou pas – une « modération des contenus », à savoir : « détecter et identifier les contenus illicites ou les informations incompatibles avec leurs conditions générales », « lutter contre ces contenus ou ces informations, y compris les mesures prises qui ont une incidence sur la disponibilité, la visibilité et l’accessibilité de ces contenus ou ces informations ». La modération de contenus illicites peut consister en leur « rétrogradation », leur « démonétisation », leur « accès impossible » ou leur « retrait », voire en procédant à « la suppression ou la suspension du compte d’un destinataire » (4).
Toutes ces restrictions possibles doivent être stipulées dans les conditions générales d’utilisation de la grande plateforme numérique, renseignements comprenant « des informations sur les politiques, procédures, mesures et outils utilisés à des fins de modération des contenus, y compris la prise de décision fondée sur des algorithmes et le réexamen par un être humain » (5).

Responsabilité limitée et injonctions
Si le DSA conserve le cadre de l’« exemption de responsabilité » des « fournisseurs de services intermédiaires » (statut d’hébergeur) telle qu’édictée par la directive européenne « E-commerce » de 2000 (6), cette « sécurité juridique » tombe dès lors que la plateforme numérique « a effectivement connaissance ou conscience d’une activité illégale ou d’un contenu illicite », et qu’elle doit de ce fait « agir rapidement pour retirer ce contenu ou rendre l’accès à ce contenu impossible » (7). Les exemptions de responsabilité sont réaffirmées par le DSA, lequel précise bien qu’elles n’empêchent pas de pouvoir aussi « procéder à des injonctions de différents types à l’encontre des fournisseurs de services intermédiaires », ces injonctions pouvant émaner « de juridictions ou d’autorités administratives » pour exiger « qu’il soit mis fin à toute infraction ou que l’on prévienne toute infraction, y compris en retirant les contenus illicites spécifiés dans ces injonctions, ou en rendant impossible l’accès à ces contenus » (8). C’est en cela que le DSA modifie la fameuse directive « E-commerce ».

La liberté d’expression menacée
Les Européens risquent-ils d’être les grands perdants en termes de liberté d’expression sur Internet ? Garantis par la Charte des droits fondamentaux de l’Union européenne (9), la liberté d’expression et d’information, la liberté d’entreprise, le droit à la non-discrimination et la garantie d’un niveau élevé de protection des consommateurs le sont aussi par le DSA qui y fait référence à de nombreuses reprises (10). « Les fournisseurs de très grandes plateformes en ligne devraient, par exemple, en particulier, tenir dûment compte de la liberté d’expression et d’information, notamment la liberté et le pluralisme des médias », stipule notamment le DSA (11). « Toute mesure prise par un fournisseur de services d’hébergement à la suite de la réception d’une notification devrait être strictement ciblée [sur le contenu illicite, ndlr], sans porter indûment atteinte à la liberté d’expression et d’information des destinataires du service », est-il ajouté (12).
Les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne sont tenus d’« éviter des restrictions inutiles à l’utilisation de leur service, compte devant dûment être tenu des effets négatifs potentiels sur les droits fondamentaux » et « accorder une attention particulière aux répercussions sur la liberté d’expression » (13). Le règlement sur les services numériques, dans son article 14, oblige donc les plateformes à « [tenir] compte des droits et des intérêts légitimes de toutes les parties impliquées, et notamment des droits fondamentaux des destinataires du service, tels que la liberté d’expression, la liberté et le pluralisme des médias et d’autres libertés et droits fondamentaux ». Et dans son article 34, le DSA oblige les grands acteurs du Net à recenser, analyser et évaluer de manière diligente « tout risque systémique », notamment « tout effet négatif réel ou prévisible pour l’exercice des droits fondamentaux » : non seulement liberté d’expression et d’information, y compris liberté et le pluralisme des médias, mais aussi dignité humaine, respect de la vie privée et familiale, protection des données à caractère personnel, non-discrimination, droits de l’enfant, et protection des consommateurs (14). Pour parer au pire, il est prévu à l’article 48 que la Commission européenne – assistée par un Comité pour les services numériques (Digital Services Committee) – « s’efforce de garantir que les protocoles de crise établissent clairement », entre autres, « les mesures de sauvegarde contre les effets négatifs éventuels sur l’exercice des droits fondamentaux consacrés dans la Charte [des droits fondamentaux de l’Union européenne], en particulier la liberté d’expression et d’information et le droit à la non-discrimination » (15). A la question « Comment comptez-vous maintenir un juste équilibre avec les droits fondamentaux tels que la liberté d’expression ? », la Commission européenne avait répondu, dans un Q&A du 25 avril dernier : « Le règlement sur les services numériques donne aux utilisateurs la possibilité de contester les décisions de suppression de leurs contenus prises par les plateformes en ligne, y compris lorsque ces décisions s’appuient sur les conditions générales des plateformes. Les utilisateurs peuvent introduire une plainte directement auprès de la plateforme, choisir un organisme de règlement extrajudiciaire des litiges ou demander réparation devant les tribunaux ».
Au plus tard le 17 novembre 2025, la Commission européenne évalue notamment « l’incidence sur le respect du droit à la liberté d’expression et d’information » (16) et remet un rapport à ce sujet au Parlement européen, au Conseil de l’Union européenne et au Comité économique et social. L’avenir nous dira si le DSA est une arme à double tranchant pour la liberté d’expression et la démocratie en Europe. Tandis que pour le Digital Markets Act (DMA), cette fois, sept géants du Net – Alphabet (Google/ YouTube), Amazon, Meta (Facebook/ Instagram), Apple, Microsoft, Samsung et ByteDance (TikTok) – vont être le 6 septembre désignés officiellement par la Commission européenne (17) comme des « gatekeepers » (contrôleurs d’accès) soumis à des règles de concurrence renforcées.

Des garde-fous contre la censure ?
Lorsque le commissaire européen au Marché intérieur, Thierry Breton (photo ci-dessus), a lancé le 10 juillet 2023 sur Franceinfo que « lorsqu’il y aura des contenus haineux, des contenus qui appellent par exemple à la révolte, qui appellent également à tuer ou à brûler des voitures, [ces plateformes] auront l’obligation dans l’instant de les effacer » (18). Et en prévenant :« Si elles ne le font pas, elles seront immédiatement sanctionnées (…) non seule-ment donner une amende mais interdire l’exploitation sur notre territoire ». Ses propos ont aussitôt soulevé une vague d’inquiétudes sur les risques de censures. Il a dû revenir sur Franceinfo le 25 août (19) pour tenter de rassurer à propos du DSA : « C’est la garantie de nos libertés, c’est tout sauf le ministère de la censure ». @

Charles de Laubier

La banque centrale américaine, la Fed, met des bâtons dans les cryptos pour préserver le dollar

Publié le par

A peine le géant du e-paiement PayPal avait-il annoncé le 7 août sa cryptomonnaie indexée sur le dollar, baptisée « PayPal USD », que la banque centrale des Etats-Unis – la Federal Reserve (Fed) – publiait le lendemain un avertissement à l’attention du secteur bancaire américain.

Il ne s’agit pas, du point de vue des Etats- Unis, de déstabiliser le sacro-saint dollar américain, qui est devenu depuis la Seconde-Guerre mondiale (1) la plus importante monnaie de réserve internationale, après avoir détrôné la livre sterling britannique. Le dollar est la monnaie la plus utilisée dans le monde. Or dès qu’une monnaie ou une devise – et à plus forte raison une cryptomonnaie – menace la suprématie du billet vert, la Fed (Federal Reserve) voit rouge.

La Fed freine les cryptos et lance FedNow
D’où ses mises en garde aux émetteurs de monnaies numériques, y compris celles adossées au dollar. C’est ainsi que la banque centrale américaine (2) a publié le 8 août – soit le lendemain de l’annonce par PayPal de sa propre cryptomonnaie indexée sur le dollar et baptisée « PayPal USD » – un avertissement aux banques des 50 Etats membres, du moins à celles « qui cherchent à s’engager dans certaines activités impliquant des jetons en dollars ». La Fed, présidée par Jerome Powell (photo), a rappelé que le Federal Reserve Act (3) permet au conseil des gouverneurs de la Fed d’exercer son « pouvoir discrétionnaire » pour « limiter les banques d’Etat membres et leurs filiales à n’exercer, en tant que mandant, que les activités qui sont autorisées pour les banques nationales ».
Pour les transactions avec des jetons en dollars (dollar tokens) rendues possibles – comme pour toutes les cryptomonnaies – par la blockchain, ce que la Fed appelle « la technologie du grand livre distribué [distributed ledger] ou des technologies similaires », elles sont possibles mais à une condition : que la banque ait obtenu l’autorisation après avoir démontré au Bureau du contrôleur de la monnaie (OCC) et aux superviseurs qu’elle a mis en place « des contrôles pour mener l’activité de manière sûre et saine ». Autrement dit, pour peu qu’elles aient le feu vert de la Fed, les banques américaines peuvent « effectuer des activités de paiement à titre principal, notamment en émettant, détenant ou effectuant des transactions de jetons en dollars », ce que l’OCC appelle des « stablecoin » (cryptos adossées à une monnaie plus stable comme le dollar ou l’euro). Même pour tester un dollar token, une autorisation écrite dite de « non-objection prudentielle » est aussi nécessaire. Les Etats-Unis ont en fait tendance à voir l’émergence de ces « stablecoin » comme une menace potentielle pour la stabilité financière du pays voire du monde et un risque d’atteinte à sa souveraineté monétaire. Dans sa « lettre de supervision et de régulation » (4), la Fed oblige les banques à éviter « les risques opérationnels » (gouvernance, surveillance du réseau, …), « les risques de cybersécurité » (smart contracts, codes open source, …), « les risques de liquidité » (rachats importants, sorties rapides de dépôts, …), « les risques financiers illicites » (secret bancaire, identité d’un client, activités suspectes, …), « les risques liés à la conformité des consommateurs » (identification, protection des consommateurs, …). La Fed entend ainsi maintenir la pression sur les banques qui doivent plus que jamais montrer pattes blanches en matière de cryptomonnaies, stablecoins compris. La Réserve fédérale, à la fois juge et partie, n’a-t-elle pas lancé le 20 juillet dernier FedNow (5), un service de e-paiement instantané à bas coût proposé à leurs clients par déjà 35 banques et organismes de crédit ? Certains y voient une volonté de la Fed de rendre obsolètes les cryptomonnaies (6).
Ce n’est pas un hasard si le rappel à la loi fédérale a été émis juste après l’annonce du PayPal USD (PYUSD), la veille. Le géant du e-paiement a lancé le 7 août son stablecoin qui est « entièrement adossé aux dépôts en dollars américains, aux bons du Trésor américain à court terme et aux équivalents de trésorerie similaires, et peut être échangé 1:1 contre des dollars américains ». PayPal estime que « les stablecoins réglementés et entièrement adossés ont le potentiel de transformer les paiements dans les environnements web3 et numériques natifs ». Et le PDG de PayPal, Dan Schulman, d’affirmer : « La transition vers les monnaies numériques nécessite un instrument stable qui est à la fois numérique et facilement connecté à la monnaie fiduciaire comme le dollar américain ».

PayPal vise le monde, Worldcoin aussi
PayPal USD est émis en tant que jeton numérique ERC- 20 sur la blockchain Ethereum par Paxos Trust Company (ex-itBit), une fintech newyorkaise pionnière de la blockchain et du bitcoin. PayPal a obtenu de la part du l’Etat de New York en juin 2022 la licence BitLicense validant la sécurité de ses investissements dans les cryptos. Pendant ce tempslà, le 24 juillet, la version bêta de la cryptomonnaie Worldcoin (WLD), cocréée par le fondateur d’OpenAI/ChatGPT, Sam Altman, a été lancée (7). Face à cette « bitconnisation » de la finance, les banques centrales du monde entier et les régulateurs ne sont pas au bout de leurs peines. @

Charles de Laubier

Majorité numérique à 15 ans harmonisée en Europe ?

Publié le par

En fait. Le 28 juin, la proposition de loi « visant à instaurer une majorité numérique et à lutter contre la haine en ligne » a été définitivement adoptée en commission mixte paritaire par députés et sénateurs. L’âge de 15 ans pour les réseaux sociaux va-t-il être harmonisé au niveau des Vingt-sept ?

En clair. Maintenant que la loi française « Majorité numérique » a été adoptée le 28 juin, obligeant les réseaux sociaux et plateformes numériques à vérifier non seulement que leurs jeunes utilisateurs ont bien l’âge de 15 ans pour les utiliser, mais aussi à obtenir une autorisation parentale en dessous de cet âge-là, la Commission européenne devra donner son avis. Le gouvernement français lui a en effet notifié la proposition de loi telle qu’adoptée, afin d’avoir le feu de Bruxelles qui doit vérifier que cette législation est bien conforme au droit de l’Union européenne.
Une fois le blanc-seing de la Commission européenne obtenu, le gouvernement fixera par décret une date d’entrée en vigueur de la loi, « [date] qui ne peut être postérieure de plus de trois mois à la date de réception par le gouvernement de la réponse de la Commission européenne ». L’harmonisation de la majorité numérique en Europe ne semble pas prévue, le règlement général sur la protection des données (RGPD) laissant le loisir aux Etats membres de fixer cette majorité numérique entre 13 et 16 ans (1). Cette vérification de l’âge viendra donc s’ajouter à l’obtention du consentement de l’enfant « e-majeur » ou d’un parent pour le traitement des données à caractère personnel – cette obligation concernant la protection de la vie privée étant déjà en vigueur. Pour l’accès aux réseaux sociaux, ce n’est qu’à compter de la date de promulgation de la loi « Majorité numérique » que les plateformes numériques (YouTube, Instragram, WhatsApp, TikTok, Facebook, Google Actualités, …), ainsi que les sites pornographiques premiers visés (2), disposeront de deux ans pour vérifier l’âge de leurs utilisateurs. C’est le président de l’Arcom qui est chargé de veiller à ce que les plateformes numériques mettent en œuvre une « solution technique certifiée pour vérifier l’âge des utilisateurs finaux et l’autorisation de l’un des titulaires de l’autorité parentale de l’inscription des mineurs de moins de quinze ans ».
Au préalable, l’Arcom devra établir un « référentiel » validé par la Cnil (3), auquel les « solutions techniques » devront être conformes. Or la Cnil, qui a préconise depuis juin 2021 le mécanisme de « double anonymat » (4) préféré à la carte d’identité, n’a toujours pas rendu public le bilan du test mené par un laboratoire de l’Ecole polytechnique et le Pôle d’expertise de la régulation numérique (PEReN) de Bercy. @

La peur envers les intelligences artificielles de type ChatGPT tourne à la psychose irrationnelle

Publié le par

Depuis la pétition signée le 29 mars 2023 par Elon Musk et des experts demandant un moratoire sur le développement des « cerveaux numériques » qui, selon eux, présentent des « risques majeurs pour l’humanité », les craintes se le disputent aux fantasmes quant à l’avenir des « ChatGPT ».

A les entendre ces Cassandres et Nostradamus de ce début du XXIe siècle, « l’extinction de l’humanité » serait pour bientôt. La fin des temps arriverait aussi rapidement que se développent les intelligences artificielles à la ChatGPT, lesquelles sont l’objet de toutes leurs angoisses existentielles. Si l’Apocalypse relève de l’eschatologie religieuse, la « ChatGPTéisation » annoncerait, elle, l’hécatombe de l’être humain. Ce tsunami numérique des IA, à l’apprentissage fulgurant, provoquerait la fin du monde.

L’Homo sapiens supplanté par l’IA sapiens
Les tribunes et déclarations de ces craintifs se suivent et se ressemblent : il faudrait pour les uns instaurer « un moratoire » face aux « risques majeurs pour l’humanité » que constitueraient les IA concurrentielles pour l’homme ; il est temps pour les autres de « prendre au sérieux certains des risques les plus graves de l’IA avancée » menaçant l’espèce humaine d’« extinction ». Les peurs que suscitent les ChatGPT, Midjourney et autres Bard, ainsi que toutes les autres IA surhumaines qui les supplanteront, virent aux fantasmes voire à l’hystérie collective. « L’atténuation du risque d’extinction dû à l’IA devrait être une priorité mondiale, parallèlement à d’autres risques à l’échelle de la société tels que les pandémies et les guerres nucléaires », clament des dizaines de signataires chercheurs en intelligence artificielle (AI Scientists), professeurs d’universités et personnalités, dont Samuel (Sam) Altman (photo), le cofondateur avec Elon Musk de la start-up OpenAI qui a développé ChatGPT (générateur de textes) et de Dall-E (générateur d’images). Ce sont les deux IA les plus en vue depuis leur lancement respectif fin novembre 2022 et début 2021.
Sam Altman, qui a fait part le 17 mai au Sénat américain de sa peur de voir cette « superintelligence » provoquer de « graves dommages au monde », serait-il devenu malgré lui le pompier-pyromane en chef des IA générative ? La courte déclaration mise en ligne le 30 mai dernier sur le site du Center for AI Safety (1), une ONG américaine dédiée aux « risques IA », est aussi signée par Bill Gates (Gates Ventures) ou encore Grimes (célèbre musicienne). Il y a même le Canadien Geoffrey Hinton (75 ans), professeur émérite d’informatique et chercheur, parfois surnommé le parrain voire le « Dieu le Père » (Godfather)de l’IA et du Deep Learning (apprentissage profond dont se nourrissent les intelligences artificiels). Il s’est distingué le 1er mai dernier en annonçant qu’il quittait Google « pour pouvoir parler des dangers de l’IA ». Et critiquer son ancien employeur dans ce domaine comme l’a suggéré le New York Times (2) ? Que nenni : « Sans considérer comment cela affecte Google. Google a agi de façon très responsable », a-t-il rectifié dans un tweet (3). Geoffrey Hinton, qui aujourd’hui rejoint le cœur de ceux qui parlent de « profonds risques pour la société et l’humanité », a travaillé pendant près d’un demi-siècle sur l’IA générative appliquée aux chatbots, ces robots conversationnels (4) qui terrifient un nombre croissant d’humains. Au risque de conflits d’intérêts, il avait annoncé en mars 2013 – lorsque la firme de Mountain View a racheté son entreprise DNNresearch (5) – qu’il allait « poursuivre [s]es recherches à Toronto et, en même temps, aider Google à appliquer les nouveaux développements en apprentissage profond pour créer des systèmes qui aident les gens ». Il n’avait alors émis à l’époque aucune réserve sur ses travaux…
Elon Musk, pourtant moins frileux dans d’autres domaines industriels où le zéro risque n’existe pas, et qui plus est un des cofondateurs d’OpenAI (d’où il s’est retiré en 2018), a été l’un des milliers de cosignataires de la tribune « AI Pause » (6) parue le 22 mars 2023. Ce texte lançait des cris d’orfraie en disant stop : « Nous appelons tous les laboratoires d’IA à suspendre immédiatement pendant au moins 6 mois la formation des systèmes d’IA plus puissants que GPT-4. Cette pause devrait être publique et vérifiable et inclure tous les acteurs-clés. Si une telle pause ne peut être mise en œuvre rapidement, les gouvernements devraient intervenir et instituer un moratoire ». Parmi les plus de 31.800 autres signataires : le chercheur français Joseph Sifakis, prix Turing de l’informatique 2007, pour qui « la technologie va trop vite » (7). Sam Altman, lui, n’en est pas signataire…

Réguler, oui ; arrêter l’IA, non
Le patron d’OpenAI, financé à coup de milliards par Microsoft, appelle les Etats à réguler ces IA superintelligentes : pour mieux freiner ses concurrents (comme Google avec Bard) et conforter la position dominante de ChatGPT sur ce tout naissant marché ? Après le Sénat américain le 17 mai, Sam Altman a rencontré le 23 mai Emmanuel Macron (8), puis le lendemain il a menacé de Londres de fermer ChatGPT en Europe si son futur AI Act était trop contraignant ! Avant de se dédire face au courroux du commissaire européen Thierry Breton l’accusant le 25 mai (9) de « chantage ». @

Charles de Laubier

Cookies et consentement des internautes : les leçons à tirer des récentes sanctions de la Cnil

Publié le par

En décembre 2021 et en décembre 2022, la Cnil a sanctionné Google, Facebook, TikTok, Apple, Microsoft et Voodoo d’une amende allant de 3 millions à 90 millions d’euros. Il leur est reproché de ne pas faciliter aux internautes le refus des cookies publicitaires aussi facilement que leur acceptation.

Par Vanessa Bouchara et Florian Viel, cabinet Bouchara Avocats

Pour la seconde année consécutive, le mois de décembre aura été riche en décisions rendues par la Commission nationale de l’informatique et des libertés (Cnil) sur la thématique de la gestion des cookies. Alors que le mois de décembre 2021 voyait le gendarme de la protection des données personnelles et de la vie privée prononcer des sanctions administratives contre Google (1) et Facebook (2), ce sont en décembre 2022 les sociétés TikTok (3), Apple (4), Microsoft (5) et Voodoo (6) qui ont fait à leur tour l’objet de sanctions pour des manquements à loi française « Informatique et Libertés » dans le cadre de la gestion de leurs cookies.

Pas de consentement, pas de cookies
Google a eu une amende de 90 millions d’euros, Facebook de 60 millions d’euros, TikTok de 5 millions d’euros, Apple de 8 millions d’euros, Microsoft de 60 millions d’euros et Voodoo de 3 millions d’euros. Il ressort de toutes ces décisions deux principaux manquements récurrents que tout éditeur de site Internet ou d’application mobile devrait appréhender afin de les éviter.
Comme le rappelle la Cnil dans l’ensemble de ces décisions, « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° des moyens dont il dispose pour s’y opposer » (7). Se faisant, ces accès ou inscriptions – via l’utilisation de traceurs – ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement. Par exception à ce qui précède, il est prévu deux cas spécifiques dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque ceux-ci ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit lorsqu’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur (8). Ainsi, afin de déterminer si l’utilisation de cookies nécessite le recueil préalable du consentement de l’abonné ou de l’utilisateur, l’éditeur du site en ligne ou de l’application mobile doit déterminer si l’ensemble des finalités associées à ces cookies sont exemptées ou non de consentement. Comme le souligne expressément la Cnil dans ses décisions à l’encontre de respectivement Apple et de Microsoft, à l’appui de ses lignes directrices du 17 septembre 2020 (9), l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées. Sans consentement, l’éditeur du service en ligne devra alors s’abstenir d’utiliser ce cookie pour la finalité non exemptée de consentement.
En effet, en considérant que les éventuelles différentes finalités fonctionnelles et non fonctionnelles d’un même cookie sont indissociables les unes des autres, l’utilisation de cette catégorie de traceurs reviendrait alors à détourner les dispositions de la loi « Informatique et Libertés » puisque le consentement de l’utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies. Par extension à ce qui précède et comme le remarque la Cnil dans sa décision à l’encontre de la société Voodoo, le refus exprès d’un utilisateur à l’utilisation de cookies pour des finalités non exemptées de consentement se doit d’être respecté par l’éditeur du service concerné, à défaut de quoi ce dernier prive d’effectivité le choix exprimé par l’utilisateur.

Aussi facile d’accepter que de refuser
Depuis l’entrée en application du RGPD, le « consentement » prévu à l’article 82 de la loi « Informatique et Libertés » précité doit s’entendre au sens du règlement général européen sur la protection des données (RGPD), c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque, et se manifester par un acte positif clair. Dans ses décisions prononcées à l’encontre des sociétés Google, Facebook, TikTok et Microsoft, la Cnil rappelle que le considérant 42 du RGPD : « Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». La Cnil précise par ailleurs que, comme mentionné dans ses lignes directrices et ses recommandations (10) datées du même jour, et confirmées par un arrêt du Conseil d’Etat du 19 juin 2020 (11), il doit être aussi aisé de refuser ou retirer son consentement aux traceurs que de le donner.

Inventivité des éditeurs et « dark pattern »
Le caractère « libre » du consentement implique en effet un choix et un contrôle réel pour les personnes concernées (12). Or, dès lors qu’un éditeur rend le refus d’utilisation de cookies non fonctionnels plus complexe que son acceptation, celui-ci incite l’internaute qui souhaite pouvoir visualiser le site Internet ou utiliser l’application rapidement, à accepter ces cookies en le décourageant à les refuser – viciant ainsi son consentement qui n’est plus libre. Les modalités proposées à l’utilisateur pour manifester son choix ne doivent donc pas être biaisées en faveur du consentement, comme l’indique la Cnil dans sa décision à l’encontre de Microsoft.
Par ailleurs, si le refus de l’utilisateur de consentir aux cookies peut potentiellement se déduire de son silence, c’est à la stricte condition que l’utilisateur en soit pleinement informé, et que l’équilibre entre les modalités d’acceptation et de refus soit respecté. Ainsi, si l’utilisation d’un bouton « tout accepter » est commune sur les bandeaux cookies, cette modalité de recueil du consentement de l’utilisateur ne sera licite que si l’utilisateur dispose d’un bouton « tout refuser » présent au même niveau et sur le même format, afin de ne pas altérer la liberté de son choix. La pratique encore commune des éditeurs de sites web ou d’applications mobiles d’opposer un bouton « tout accepter » à un bouton « paramétrer » ou « personnaliser » (ou équivalent), n’est donc pas licite et constitue un « dark pattern », comme l’indique la Cnil dans ses décisions à l’encontre des sociétés Facebook et Google.
A propos de ces « dark pattern », la délégation de la Cnil – qui a effectué un contrôle en ligne sur le site web « facebook.com » – mentionne d’ailleurs une étude universitaire de 2020 intitulée « Les “dark patterns” au temps du RGPD : récupération des fenêtres de consentement et démonstration de leur influence » (13). Les chercheurs – provenant notamment des universités de Cambridge et du MIT – ont démontré que 93,1 % du panel des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau et que seule une faible minorité d’entre eux vont au second niveau pour personnaliser ou refuser. Cette étude démontrait également que le fait de reléguer le bouton du refus au second niveau augmentait en moyenne de 23,1 points de pourcentage le taux de consentement aux cookies. Enfin, pour que le consentement de l’internaute soit libre, l’éditeur du site ou de l’application doit également veiller à ce que l’information relative à ses cookies et transmise à l’internaute – avant le recueil de son éventuel consentement – soit complète, visible et mise en évidence. Cette information doit en particulier porter sur les finalités poursuivies par les opérations de dépôt et de lecture des cookies, et sur les moyens dont l’utilisateur dispose pour s’y opposer. Une description générale et approximative des finalités de l’ensemble cookies non fonctionnels déposés, par l’utilisation de termes généraux tels que « améliorer votre expérience sur nos sites web » et « à des fins d’analyse et de marketing », est imprécise et constitue un manquement à la loi « Informatique et Libertés » (14), comme le mentionne la Cnil dans sa décision à l’encontre de TikTok.
Il résulte ainsi de ces six décisions, rendues par la Cnil sur les seuls mois de décembre 2021 et 2022, des rappels de règles bien établies ou en phase de l’être depuis l’entrée en vigueur du RGPD (15) – à savoir depuis le 25 mai 2018. Si ces règles sont claires, leur application n’est toutefois pas toujours l’objectif des éditeurs de sites et d’applications qui font preuve d’inventivité pour limiter la chute du taux de consentement de leur utilisateurs ou abonnés (16) à l’utilisation de cookies non fonctionnels, comme le démontre le Comité européen de la protection des données (CEPD) dans son rapport « Cookie Banner » publié le 18 janvier 2023 (17). Ces éditeurs considèrent en effet que leur intérêt à utiliser des cookies non fonctionnels, en particulier à des fins de publicités ciblées ou analytiques, prévaut sur le respect du consentement de leurs utilisateurs ou abonnés, et par extension acceptent le risque de sanctions administratives et d’actions judiciaires qui en résulte.

Sanctions plus rapides et solutions alternatives
Les modifications de la loi « Informatique et Libertés » et de son décret d’application, intervenues le 24 janvier puis le 8 avril 2022, ont pour ambition de permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions. Si la réforme des procédures correctrices de la Cnil (18) – permettant à celle-ci de prononcer des sanctions plus rapidement – ne sera probablement pas suffisante pour convaincre toutes les entreprises et organisations de changer leurs pratiques, le développement de solutions alternatives aux cookies non exemptés de consentement pourrait l’être. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé
le cabinet Bouchara Avocats (www.cabinetbouchara.com).