L’article 17 de la directive « Copyright » validé, le filtrage des contenus sur Internet peut commencer

La Cour de justice européenne (CJUE) a validé le 26 avril 2022 l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique ». Le filtrage des contenus mis en ligne soulève des questions. La liberté d’expression et d’information risque d’être la victime collatérale.

En France, aussitôt après que la Cour de justice de l’Union européenne (CJUE) ait – dans un arrêt du 26 avril 2022 – validé le controversé article 17 sur le filtrage des contenus mis en ligne sur Internet, au nom de la lutte contre le piratage, l’Arcom a publié deux questionnaires pour l’ « évaluation du niveau d’efficacité des mesures de protection des oeuvres et des objets protégés » par le droit d’auteur et les droits voisins. L’un s’adresse aux fournisseurs de services de partage de contenus (de YouTube à TikTok en passant par Facebook et Twitter). L’autre s’adresse aux titulaires de droits (de l’audiovisuel à la musique en passant par la radio, les podcasts, la presse écrite, les photos, les illustrations, les livres ou encore les jeux vidéo). Ils ont tous jusqu’au 20 juin 2022 pour y répondre. La France est, parmi les Vingt-sept, le pays qui veut être le bon élève dans la transposition de la directive européenne de 2019 sur « le droit d’auteur et les droits voisins dans le marché unique numérique », censée l’être depuis le 7 juin 2021 par tous les Etats membres.

Content ID (YouTube), Rights Manager (Facebook), Surys (ex-Hologram), TMG, …
Sans attendre l’échéance, le gouvernement français avait pris une première ordonnance dès le 12 mai 2021 pour transposer les dispositions concernant la responsabilité des plateformes et le fameux article 17. Maintenant que la CJUE, avec son avocat général Henrik Saugmandsgaard Øe (photo), a tranché en faveur de la validité de cet article 17 au regard de la liberté d’expression et d’information, l’Arcom consulte les ayants droit et les plateformes de partage en vue de publier des recommandations (1) pour améliorer l’ « efficacité » et la « robustesse » des mesures de protection mises en place par les acteurs du Net concernés, ainsi que leur « transparence », leur « simplicité d’usage » et leur « finesse ». Ces systèmes automatisés et méconnus du grand public se nomment, pour n’en citer que quelques uns : Content ID (YouTube), Rights Manager (Facebook), Audible Magic, Signature (Ina), Surys (ex-Hologram Industries, ex-Advestigo), Trident Media Guard (TMG), Kantar ACR (ex-NexTracker et SyncNow de Civolution), Digimarc (acquéreur d’Attributor) ou encore Blue Efficience. Ces outils Continuer la lecture

Guerre de l’info : Russia Today et Sputnik contestent la décision de l’Union européenne de les censurer

Par un règlement et une décision, datés du 1er mars et signés par Jean-Yves Le Drian, l’Union européenne a interdit à tout opérateur télécoms, audiovisuel et plateforme numérique de diffuser ou référencer Russia Today (RT) et Sputnik. « Censure » et « atteinte grave à la liberté d’expression » dénoncent ces derniers.

« RT France a déposé un recours auprès du Tribunal de l’UE ; nous nous battrons jusqu’au bout pour ce que nous estimons être incontestablement une atteinte grave à la liberté d’expression », a écrit Xenia Fedorova, PDG de la filiale française de Russia Today, dans un tweet daté du 9 mars, soit le lendemain de l’annonce faite par le service de presse de la Cour de justice de l’Union européenne (CJUE) sur ses comptes Twitter concernant cette saisine : « #RussiaToday (France) demande au #TribunalUE d’annuler la décision et le règlement du @EU_Council du 1er mars 2022 concernant les mesures restrictives liées aux actions de la #Russie déstabilisant la situation en #Ukraine (T-125/22) ». L’Europe des Vingt-sept n’y est pas allée de main morte pour interdire deux groupes de médias, Russia Today (RT) et Sputnik. Dans la décision de politique étrangère et de sécurité commune (PESC) du Conseil de l’UE, assortie de son règlement, tous les deux datés du 1er mars 2022 et signés par le Jean-Yves Le Drian (photo), la sentence tombe : « Il est interdit aux opérateurs de diffuser ou de permettre, de faciliter ou de contribuer d’une autre manière à la diffusion de contenus provenant [de RT et Sputnik], y compris par la transmission ou la distribution par tout moyen tel que le câble, le satellite, la télévision sur IP, les fournisseurs de services Internet, les plateformes ou applications, nouvelles ou préexistantes, de partage de vidéos sur l’Internet ».

« Actes non législatifs » européens sans précédent
Pour justifier sa décision radicale et sans précédent, le Conseil de l’UE affirme qu’ »en faussant et en manipulant gravement les faits (…) ces actions de propagande ont été menées par l’intermédiaire d’un certain nombre de médias placés sous le contrôle permanent, direct ou indirect, des dirigeants de la Fédération de Russie » (1) pour laquelle « ces médias sont essentiels et indispensables pour faire progresser et soutenir l’agression contre l’Ukraine et pour la déstabilisation des pays voisins » (2). Les deux « actes non législatifs », que sont cette décision PESC (5) et ce règlement de l’UE quasi identiques, ont été adoptés à l’encontre de RT et de Sputnik sans débat ni vote du Parlement européen. Ils sont contraignants et sont entrés en vigueur dès le 2 mars, jour de leur publication au Journal officiel de l’Union européenne (JOUE). Imposées sur toute l’Europe des Vingt-sept, ces mesures restrictives obligent GAFAM (dont certains ont devancé l’appel), opérateurs télécoms et diffuseurs audiovisuels à Continuer la lecture

Données de connexion : le Conseil d’Etat dit d’ajuster légèrement la loi française au droit européen

Données de connexion (comme l’adresse IP) ou données téléphoniques (comme le numéro), leur conservation est interdite. Mais il y a une exception obligeant les opérateurs et les hébergeurs à conserver ces données durant un an. Le Conseil d’Etat appelle le gouvernement à circonscrire cette rétention.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Décevante pour certains, équilibrée pour d’autres : la décision du 21 avril 2021 du Conseil d’Etat (1) – saisi en avril 2021 par les associations La Quadrature du Net, French Data Network et Igwan.net – a le mérite de procéder à une analyse précise du cadre règlementaire national relatif aux données de connexion, en opérant une distinction entre l’obligation de conservation et le droit d’accès à ces données. Pour se conformer à la jurisprudence européenne, des adaptations sont à prévoir – mais à la marge.

Rétention des données de connexion
Interdiction de principe. Les données de communication sont celles qui sont engendrées automatiquement par les communications effectuées via Internet (données de connexion) ou la téléphonie (données téléphoniques). Elles donnent des informations sur chaque message échangé (nom, prénom, numéro de téléphone pour les données téléphoniques, numéro IP pour les données de connexion). Egalement qualifiées de « métadonnées », elles représentent tout ce qui n’est pas le contenu lui-même de la communication, mais qui informe sur cette dernière (horodatage par exemple).
La conservation de ces données est interdite, en application de l’article L. 34-1 du code des postes et des communications électroniques qui impose leur effacement – voire l’anonymisation de « toute donnée relative au trafic » (2).
Cependant, il existe une exception à ce principe. L’article R10-13 du même code (3) impose aux opérateurs de communications électroniques, aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de conserver – pour une durée d’un an – toutes les données de trafic, de localisation et celles relatives à l’identité de leurs utilisateurs. Cette conservation se justifie pour les besoins d’une part, de la recherche, de la constatation et de la poursuite des infractions, notamment pénales, et, d’autre part, des missions de défense et de promotion des « intérêts fondamentaux de la nation » (indépendance, intégrité de son territoire, sécurité, forme républicaine de ses institutions, moyens de sa défense et de sa diplomatie, etc. (4)) confiées aux services de renseignement. Ainsi – et c’est bien ce que relève le Conseil d’Etat dans son arrêt du 21 avril 2021 –, il existe une obligation de conservation générale et indifférenciée des données de connexion. On retrouve dans la directive ePrivacy (5) (désormais abrogée) le principe et l’exception précités. En effet, le texte européen interdisait le stockage des communications et des données relatives au trafic (6), mais ouvrait la faculté pour les Etats membres d’adopter des mesures législatives visant à limiter la portée de cette interdiction (7).
Dans la continuité de plusieurs décisions antérieures, un arrêt du 8 avril 2014 de la Cour de Justice de l’Union européenne (CJUE) rappelle que la conservation des données de connexion constitue une ingérence profonde dans la vie privée des citoyens de l’UE (8). La Haute juridiction européenne exige en conséquence : de solides garanties, des textes clairs et une obligation circonscrite à la seule lutte contre les infractions graves. Elle a consolidé cette analyse le 2 mars 2021, en conditionnant les législations permettant l’accès des autorités publiques aux données de connexion « à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique » (9). Dans la suite de l’arrêt de la CJUE du 2 mars 2021, le Conseil d’Etat a pris position à son tour : il admet que la conservation généralisée et indifférenciée peut être justifiée dans un objectif de sécurité nationale. A ce titre, les risques d’attentats qui pèsent sur le pays, mais également les risques d’espionnage et d’ingérence étrangère, les risques d’attaques informatiques ou encore l’augmentation de l’activité de groupes radicaux et extrémistes constitueraient autant de menaces portant atteinte à la sécurité nationale. Il prévoit cependant que le gouvernement doit adapter la règlementation, dans les six mois, afin de prévoir un réexamen périodique de la menace, de manière à rectifier le dispositif.

Accès aux données de connexion
Mais cela ne modifie en rien l’obligation de conservation des données de connexion pour les opérateurs télécoms et fournisseurs d’accès et d’hébergement Internet, lesquels peuvent recevoir une demande d’accès de la part des services de renseignement. La lutte contre la criminalité légitime l’ingérence de l’Etat. Les services d’enquête doivent pouvoir accéder aux données de connexion afin de pouvoir remonter jusqu’à l’auteur de l’infraction. Cette modalité est parfaitement admise par la CJUE. Toutefois, si la finalité est légitime, la mise en œuvre interroge. Comment, en effet, circonscrire l’obligation de conservation des données de connexion à des infractions qui n’ont pas été commises, ou dont les auteurs n’ont pas encore été identifiés ? Une solution en fait impraticable. La finalité de la sécurité, même encadrée, conduit nécessairement à une conservation généralisée et indifférenciée des données par les opérateurs. En effet, elle soulève une difficulté opérationnelle. Obstacles techniques et ciblages Le Conseil d’Etat détaille lui-même l’ensemble des obstacles de nature technique et matérielle auxquelles font face les opérateurs, fournisseurs et hébergeurs. Ces derniers ne peuvent que difficilement effectuer un tri selon les personnes ou les zones géographiques. Il leur est également impossible d’identifier par avance une personne susceptible de commettre telle infraction, ou deviner un lieu où est susceptible de se dérouler telle autre.
Le Conseil d’État n’abroge pas pour autant la solution européenne (10). L’opportunité de la solution mise en avant par la CJUE – la conservation doit être ciblée sur certaines personnes soupçonnées ou des lieux spécifiques – n’est pas à proprement parler remise en question par le Conseil d’Etat. En revanche, il enjoint au Premier ministre de réviser les textes concernés (11) afin de circonscrire les finalités de l’obligation de conservation des données de trafic et de localisation à la seule sauvegarde de la sécurité nationale. Ce qui, selon le Conseil d’Etat, ne comprend pas les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes, ainsi que les adresses IP qui, à elles seules, ne permettent pas d’obtenir d’information pertinente sur la communication. Le Conseil d’Etat valide également la légalité des techniques mises en œuvre par les services de renseignement.
L’accès en temps différé (12), l’accès en temps réel aux données de connexion en matière terroriste (13), la géolocalisation en temps réel (14), ou encore les fameuses boîtes noires ou traitements algorithmiques – à savoir les « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste » (15) – sont autant de techniques mises à la disposition des services de renseignement. Introduites dans le code de la sécurité intérieure (16) à la suite des attentats de 2015, leur légalité, fortement contestée à plusieurs reprises, a été questionnée de nouveau, sans infléchir la position du Conseil d’Etat qui admet leur conformité au droit de l’Union européenne (UE). Cependant, le recours à ces techniques doit être contrôlé par une institution dotée d’un pouvoir contraignant. La Commission nationale de contrôle des techniques de renseignement (CNCTR), instituée en juillet 2015 (17), a bien été mise en place pour veiller au respect du principe de proportionnalité de l’atteinte à la vie privée qu’entraînent ces techniques (18). Cependant, comme elle formule seulement des avis simples ou des recommandations qui n’ont pas de force contraignante, le Conseil d’Etat – pour se conformer au droit de l’UE – a annulé les décrets (19) en ce qu’ils prévoient la mise en œuvre de ces techniques de renseignement (20) sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou d’une juridiction.
Au final, des changements marginaux sont à prévoir. Si le Conseil d’Etat admet que la règlementation française doit être adaptée pour se conformer à la jurisprudence européenne, on observe qu’il s’agit de changements à la marge : prévoir un réexamen périodique de la menace qui justifie la conservation des données de connexion, redéfinir les finalités des traitements et garantir un pouvoir contraignant aux avis formulés par la CNCTR. Le cadre législatif et règlementaire français apparaît ainsi dans les grandes lignes conforme aux exigences de la CJUE.

Conservation généralisée : arrêt belge contre
La Cour constitutionnelle belge, elle, n’a pas fait la même analyse. Saisie en janvier 2017 par l’Ordre des barreaux francophones et germanophone, ainsi que par trois associations sans but lucratif (21), elle a rendu le lendemain de la décision du Conseil d’Etat en France, soit le 22 avril 2021, un arrêt (22) où elle retient que le droit de l’UE, à la lumière de la jurisprudence de la CJUE, impose aux Etats de renoncer, pour l’essentiel, à « la conservation généralisée et indifférenciée des données » de connexion (données de trafic et des données de localisation, adresses IP, identité civile des utilisateurs de moyens de communications électroniques, …), annulant ainsi la loi belge du 29 mai 2016 « relative à la collecte et à la conservation des données dans le secteur des communications électroniques », sans attendre une nouvelle législation en la matière. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB) après
avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Données personnelles : après avoir fait plier Facebook, Max Schrems s’attaque à Appleet bientôt à Google

L’organisation Noyb, cofondée par l’Autrichien Max Schrems (33 ans) qui a tenu tête à Facebook en 2015 et en 2020, a déposé plainte le 16 novembre contre Apple et son « cookie » IDFA, auprès des « Cnil » allemande et espagnole – en attendant d’autres autorités dont la France. Prochaine cible : Google.

Il est libre Max… « Il met de la magie, mine de rien, dans tout ce qu’il fait. Il a l’sourire facile, même pour les imbéciles. Il s’amuse bien, il [ne] tombe jamais dans les pièges. Il s’laisse pas étourdir par les néons des manèges. Il vit sa vie sans s’occuper des grimaces. Que font autour de lui les poissons dans la nasse. Il est libre Max, il est libre Max… », chantait Hervé Cristiani dans les années 1980 (1). Libre, c’est le cas de Max Schrems (photo) né durant cette décennie-là, en octobre 1987. Cet Autrichien a maintenant 33 ans et il est depuis deux ans et demi président d’honneur de Noyb.

Vers une affaire « Schrems 3 » avec Apple
L’organisation non gouvernementale Noyb – pour « None of Your Business » (« Ma vie privée n’est pas votre affaire ») – est née le jour même que l’entrée en vigueur en Europe du Règlement général sur la protection des données (RGPD), à savoir le 25 mai 2018. L’action de cette ONG professionnelle pour le respect à la vie privée (numérique) se veut similaire aux organisations de défense des droits des consommateurs et a vocation à engager des poursuites contre des sociétés – GAFA en tête – au nom de leurs utilisateurs. Noyb s’appuie sur les succès de son cofondateur Max Schrems, qui se présente comme « avocat et militant pour la vie privée », épaulé au sein du conseil d’administration par Christof Tschohl, avocat et spécialiste de la protection de la vie privée, et de Petra Leupold, avocate et spécialiste des droits des consommateurs.
Avant de créer Noyb, Maximilian Schrems (2) s’est fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats- Unis. Ce qui a amené la Cour de Justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’est l’affaire dite « Schrems 1 » (3) qui a propulsé Max Schrems au-devant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (4), il a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (5), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD). Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (6). C’est l’affaire dite « Schrems 2 » (7) qui a renforcé la légitimité de Max Schrems (8) face à la firme de Mark Zuckerberg.
La plainte déposée le 16 novembre dernier à l’encontre d’Apple – à la fois devant la « Cnil » allemande, le BfDI (9), et devant la « Cnil » espagnole, la AEPD (10) –, s’inscrit dans le prolongement des deux actions précédentes et pourraient bien constituer l’affaire « Schrems 3 ». Contacté par Edition Multimédi@, un autre avocat de Noyb, Stefano Rossetti, spécialisé lui aussi dans la protection de la vie privée, nous indique que la même plainte contre la firme de Cupertino pourrait être déposée auprès d’autres autorités de protection des données personnelles dont la Cnil en France : « Oui, nous considérons la France comme une option ».
Et une porte-parole de l’organisation, Phoebe Baumann, nous a expliqué : « Nous avons décidé d’aller d’abord en Allemagne et en Espagne, car nous y avions des personnes concernées et un cadre juridique établi, y compris une jurisprudence qui appuyait notre point de vue ». Après ces cookies-maison d’Apple, le système similaire chez Google sur terminaux Android sera à son tour contesté, comme Noyb nous l’a confirmé : « Nous étudions également Android et Google. En fin de compte, nous voulons voir ces traqueurs hors de nos téléphones. ».

Absence de consentement préalable
Dans cette affaire « Schrems 3 », il ne s’agit pas cette fois de transfert de données personnelles de l’Europe vers les Etats-Unis, mais de traçage des utilisateurs sur leurs smartphones et tablettes – en l’occurrence les iPhone voire les iPad d’Apple. La firme de Cupertino utilise un cookiemaison appelé IDFA, pour « Identifier for Advertisers ». Autrement dit, il s’agit d’un code de suivi unique généré par défaut – et donc sans le consentement préalable du mobinaute – par le système d’exploitation iOS des smartphones et des tablettes de la marque à la pomme. Chaque utilisateur ne peut qu’accepter la licence logiciel (Apple iOS and iPad OS Software License Agreement) s’il veut utiliser son iPhone et/ou son iPad. Or, sans qu’il le sache ni y consente, l’utilisateur des terminaux à la pomme se retrouve pisté à son insu par IDFA, « cette chaîne unique de chiffres et de caractères » qui permet à Apple et à d’autres tiers – comme les annonceurs publicitaires – d’identifier les utilisateurs à travers les applications et même de relier les comportements en ligne (cross device tracking).

La directive « ePrivacy » à la rescousse
Grâce à l’IDFA, Apple et des entreprises tierces partenaires telles que les éditeurs d’applications et les annonceurs peuvent « suivre le comportement des utilisateurs, élaborer des préférences de consommation et fournir des publicités personnalisées ». C’est là que le bât blesse : ce code de traçage suppose le consentement préalable des utilisateurs, conformément à la législation européenne : non seulement le RGPD mais aussi, et surtout, la directive dite « ePrivacy » de 2002 sur le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (11). Apple enfreint l’article 5 (paragraphe 3) de cette directive qui impose aux Etats membres de « veille[r] à ce que le stockage des informations ou l’accès aux informations déjà stockées dans ces dispositifs ne soient autorisés qu’avec le consentement préalable de l’utilisateur ». en n’obtenant pas le consentement éclairé et sans ambiguïté de ses utilisateurs pour pouvoir déposer son logiciel espion, Apple viole cette loi européenne sur les cookies. Dans ses deux plaintes quasi identiques déposé en Allemagne et en Espagne, l’organisation Noyb précise qu’« étant donné que l’IDFA est stocké et récupéré sans équivoque à partir du dispositif utilisateur, l’article 5 (3) de la directive “ePrivacy”, en tant que lex specialis, s’applique au lieu de la disposition plus générale de l’article 6 du RGPD (Apple ne peut donc prétendre à aucun intérêt légitime pour son traitement) ». Juridiquement, Noyb souligne que la directive sur la protection des données électroniques prévaut sur le RGPD (12).
La firme de Cupertino joue en outre un double-jeu, comme le souligne Stefano Rossetti : « Alors qu’Apple a introduit des fonctions dans son navigateur pour bloquer les cookies, elle place des codes similaires dans ses téléphones, sans aucun consentement de l’utilisateur. Il s’agit là d’une violation flagrante de la législation européenne sur la protection de la vie privée ». Contrairement à la plainte déposée en Espagne par l’Espagne contre Apple, celle d’Allemagne l’a été notamment par un Berlinois de 45 ans, qui a échangé plusieurs messages avec le fabricant d’iPhone au cours du mois de février dernier. Dans une première réponse, l’équipe de protection des renseignements personnels d’Apple n’a pas répondu à la demande du plaignant qui demandait pourquoi l’IDFA avait été activé sur son terminaux et « pour essayer de comprendre pourquoi il n’était pas désactivé par défaut » (ou « comment le suivi des publicités n’est pas limité par défaut »), tout en exprimant auprès de l’équipe « des doutes sur la légalité de ce traitement » et sur le risque pour ses données personnelles. Le 20 février 2020, le quadragénaire obtient d’Apple une tentative de clarification : « L’identi-ficateur publicitaire dont nous avons parlé précédemment n’est pas associé à votre identifiant Apple [Apple ID, ndlr]. Il est généré aléatoirement sur votre appareil. Les renseignements recueillis en association avec un identificateur de publicité ne sont pas personnellement identifiables et, par conséquent, le consentement ne découle pas du RGPD ». Ce à quoi le plaignant a répondu : « Je crois que ce n’est pas vrai. Par exemple, ma page “off-Facebook” montre plusieurs applications qui partageaient ces informations [l’IDFA, par ex.] avec Facebook, et cela est lié à mes informations privées. Je crois que cet identifiant pseudo-anonyme est des données privées en vertu du RGPD précisément parce qu’il peut être lié à moi personnellement ». Le 21 février, Apple s’est contenté de répondre, en bottant en touche : « Nous ne sommes pas en mesure de formuler des commentaires sur la façon dont un tiers peut traiter de telles questions ». L’entreprise à la pomme n’a ensuite plus jamais répondu au Berlinois qui souhaitait approfondir sur ce différend touchant à sa vie privée. Gageons que la firme de Cupertino sera plus claire dans ses réponses aux autorités européennes de protection des données.

Restriction aux tiers en 2021, pas pour Apple
En septembre dernier, Apple avait annoncé une « amélioration » de l’IDFA dans le sens d’une « restriction d’accès » par les développeurs et les annonceurs. Mais cette nouvelle disposition – via la fonction App Tracking Transparency (ATT) – ne sera en place qu’en 2021 avec l’iOS version 14, qui devrait donner aux utilisateurs le choix de permettre ou non aux applications – dont Facebook qui se brouille à ce sujet avec la pomme – de les suivre à des fins publicitaires et de transmettre leurs données personnelles à des tiers. « Ces changements semblent restreindre l’utilisation de l’IDFA pour les tiers (…). Toutefois, le stockage initial de l’IDFA et l’utilisation qu’en fera Apple se feront toujours sans le consentement des utilisateurs et donc en violation du droit communautaire », déplore encore Noyb. @

Charles de Laubier

Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.

La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.

Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.

Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.

Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.