Données personnelles : après avoir fait plier Facebook, Max Schrems s’attaque à Appleet bientôt à Google

L’organisation Noyb, cofondée par l’Autrichien Max Schrems (33 ans) qui a tenu tête à Facebook en 2015 et en 2020, a déposé plainte le 16 novembre contre Apple et son « cookie » IDFA, auprès des « Cnil » allemande et espagnole – en attendant d’autres autorités dont la France. Prochaine cible : Google.

Il est libre Max… « Il met de la magie, mine de rien, dans tout ce qu’il fait. Il a l’sourire facile, même pour les imbéciles. Il s’amuse bien, il [ne] tombe jamais dans les pièges. Il s’laisse pas étourdir par les néons des manèges. Il vit sa vie sans s’occuper des grimaces. Que font autour de lui les poissons dans la nasse. Il est libre Max, il est libre Max… », chantait Hervé Cristiani dans les années 1980 (1). Libre, c’est le cas de Max Schrems (photo) né durant cette décennie-là, en octobre 1987. Cet Autrichien a maintenant 33 ans et il est depuis deux ans et demi président d’honneur de Noyb.

Vers une affaire « Schrems 3 » avec Apple
L’organisation non gouvernementale Noyb – pour « None of Your Business » (« Ma vie privée n’est pas votre affaire ») – est née le jour même que l’entrée en vigueur en Europe du Règlement général sur la protection des données (RGPD), à savoir le 25 mai 2018. L’action de cette ONG professionnelle pour le respect à la vie privée (numérique) se veut similaire aux organisations de défense des droits des consommateurs et a vocation à engager des poursuites contre des sociétés – GAFA en tête – au nom de leurs utilisateurs. Noyb s’appuie sur les succès de son cofondateur Max Schrems, qui se présente comme « avocat et militant pour la vie privée », épaulé au sein du conseil d’administration par Christof Tschohl, avocat et spécialiste de la protection de la vie privée, et de Petra Leupold, avocate et spécialiste des droits des consommateurs.
Avant de créer Noyb, Maximilian Schrems (2) s’est fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats- Unis. Ce qui a amené la Cour de Justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’est l’affaire dite « Schrems 1 » (3) qui a propulsé Max Schrems au-devant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (4), il a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (5), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD). Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (6). C’est l’affaire dite « Schrems 2 » (7) qui a renforcé la légitimité de Max Schrems (8) face à la firme de Mark Zuckerberg.
La plainte déposée le 16 novembre dernier à l’encontre d’Apple – à la fois devant la « Cnil » allemande, le BfDI (9), et devant la « Cnil » espagnole, la AEPD (10) –, s’inscrit dans le prolongement des deux actions précédentes et pourraient bien constituer l’affaire « Schrems 3 ». Contacté par Edition Multimédi@, un autre avocat de Noyb, Stefano Rossetti, spécialisé lui aussi dans la protection de la vie privée, nous indique que la même plainte contre la firme de Cupertino pourrait être déposée auprès d’autres autorités de protection des données personnelles dont la Cnil en France : « Oui, nous considérons la France comme une option ».
Et une porte-parole de l’organisation, Phoebe Baumann, nous a expliqué : « Nous avons décidé d’aller d’abord en Allemagne et en Espagne, car nous y avions des personnes concernées et un cadre juridique établi, y compris une jurisprudence qui appuyait notre point de vue ». Après ces cookies-maison d’Apple, le système similaire chez Google sur terminaux Android sera à son tour contesté, comme Noyb nous l’a confirmé : « Nous étudions également Android et Google. En fin de compte, nous voulons voir ces traqueurs hors de nos téléphones. ».

Absence de consentement préalable
Dans cette affaire « Schrems 3 », il ne s’agit pas cette fois de transfert de données personnelles de l’Europe vers les Etats-Unis, mais de traçage des utilisateurs sur leurs smartphones et tablettes – en l’occurrence les iPhone voire les iPad d’Apple. La firme de Cupertino utilise un cookiemaison appelé IDFA, pour « Identifier for Advertisers ». Autrement dit, il s’agit d’un code de suivi unique généré par défaut – et donc sans le consentement préalable du mobinaute – par le système d’exploitation iOS des smartphones et des tablettes de la marque à la pomme. Chaque utilisateur ne peut qu’accepter la licence logiciel (Apple iOS and iPad OS Software License Agreement) s’il veut utiliser son iPhone et/ou son iPad. Or, sans qu’il le sache ni y consente, l’utilisateur des terminaux à la pomme se retrouve pisté à son insu par IDFA, « cette chaîne unique de chiffres et de caractères » qui permet à Apple et à d’autres tiers – comme les annonceurs publicitaires – d’identifier les utilisateurs à travers les applications et même de relier les comportements en ligne (cross device tracking).

La directive « ePrivacy » à la rescousse
Grâce à l’IDFA, Apple et des entreprises tierces partenaires telles que les éditeurs d’applications et les annonceurs peuvent « suivre le comportement des utilisateurs, élaborer des préférences de consommation et fournir des publicités personnalisées ». C’est là que le bât blesse : ce code de traçage suppose le consentement préalable des utilisateurs, conformément à la législation européenne : non seulement le RGPD mais aussi, et surtout, la directive dite « ePrivacy » de 2002 sur le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (11). Apple enfreint l’article 5 (paragraphe 3) de cette directive qui impose aux Etats membres de « veille[r] à ce que le stockage des informations ou l’accès aux informations déjà stockées dans ces dispositifs ne soient autorisés qu’avec le consentement préalable de l’utilisateur ». en n’obtenant pas le consentement éclairé et sans ambiguïté de ses utilisateurs pour pouvoir déposer son logiciel espion, Apple viole cette loi européenne sur les cookies. Dans ses deux plaintes quasi identiques déposé en Allemagne et en Espagne, l’organisation Noyb précise qu’« étant donné que l’IDFA est stocké et récupéré sans équivoque à partir du dispositif utilisateur, l’article 5 (3) de la directive “ePrivacy”, en tant que lex specialis, s’applique au lieu de la disposition plus générale de l’article 6 du RGPD (Apple ne peut donc prétendre à aucun intérêt légitime pour son traitement) ». Juridiquement, Noyb souligne que la directive sur la protection des données électroniques prévaut sur le RGPD (12).
La firme de Cupertino joue en outre un double-jeu, comme le souligne Stefano Rossetti : « Alors qu’Apple a introduit des fonctions dans son navigateur pour bloquer les cookies, elle place des codes similaires dans ses téléphones, sans aucun consentement de l’utilisateur. Il s’agit là d’une violation flagrante de la législation européenne sur la protection de la vie privée ». Contrairement à la plainte déposée en Espagne par l’Espagne contre Apple, celle d’Allemagne l’a été notamment par un Berlinois de 45 ans, qui a échangé plusieurs messages avec le fabricant d’iPhone au cours du mois de février dernier. Dans une première réponse, l’équipe de protection des renseignements personnels d’Apple n’a pas répondu à la demande du plaignant qui demandait pourquoi l’IDFA avait été activé sur son terminaux et « pour essayer de comprendre pourquoi il n’était pas désactivé par défaut » (ou « comment le suivi des publicités n’est pas limité par défaut »), tout en exprimant auprès de l’équipe « des doutes sur la légalité de ce traitement » et sur le risque pour ses données personnelles. Le 20 février 2020, le quadragénaire obtient d’Apple une tentative de clarification : « L’identi-ficateur publicitaire dont nous avons parlé précédemment n’est pas associé à votre identifiant Apple [Apple ID, ndlr]. Il est généré aléatoirement sur votre appareil. Les renseignements recueillis en association avec un identificateur de publicité ne sont pas personnellement identifiables et, par conséquent, le consentement ne découle pas du RGPD ». Ce à quoi le plaignant a répondu : « Je crois que ce n’est pas vrai. Par exemple, ma page “off-Facebook” montre plusieurs applications qui partageaient ces informations [l’IDFA, par ex.] avec Facebook, et cela est lié à mes informations privées. Je crois que cet identifiant pseudo-anonyme est des données privées en vertu du RGPD précisément parce qu’il peut être lié à moi personnellement ». Le 21 février, Apple s’est contenté de répondre, en bottant en touche : « Nous ne sommes pas en mesure de formuler des commentaires sur la façon dont un tiers peut traiter de telles questions ». L’entreprise à la pomme n’a ensuite plus jamais répondu au Berlinois qui souhaitait approfondir sur ce différend touchant à sa vie privée. Gageons que la firme de Cupertino sera plus claire dans ses réponses aux autorités européennes de protection des données.

Restriction aux tiers en 2021, pas pour Apple
En septembre dernier, Apple avait annoncé une « amélioration » de l’IDFA dans le sens d’une « restriction d’accès » par les développeurs et les annonceurs. Mais cette nouvelle disposition – via la fonction App Tracking Transparency (ATT) – ne sera en place qu’en 2021 avec l’iOS version 14, qui devrait donner aux utilisateurs le choix de permettre ou non aux applications – dont Facebook qui se brouille à ce sujet avec la pomme – de les suivre à des fins publicitaires et de transmettre leurs données personnelles à des tiers. « Ces changements semblent restreindre l’utilisation de l’IDFA pour les tiers (…). Toutefois, le stockage initial de l’IDFA et l’utilisation qu’en fera Apple se feront toujours sans le consentement des utilisateurs et donc en violation du droit communautaire », déplore encore Noyb. @

Charles de Laubier

Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.

La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.

Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.

Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.

Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

Comment YouTube et Uploaded ont encore échappé à leurs responsabilités dans deux affaires de piratage

L’article 17 controversé de la directive « Droit d’auteur et les droits voisins dans le marché unique numérique » n’a pu être appliqué ni à YouTube (Google) ni à Uploaded (Cyando). Et pour cause : l’Allemagne, où deux plaintes pour piratage avaient été déposées, n’a pas encore transposé le texte européen.

Par Rémy Fekete, avocat associé, et Eddy Attouche, juriste, Jones Day

On retient de Beaumarchais son Figaro. On sait moins qu’il fut l’inlassable défenseur des droits d’auteurs : « On dit au foyer des Théâtres qu’il n’est pas noble aux Auteurs de plaider pour le vil intérêt, eux qui se piquent de prétendre à la gloire. On a raison. La gloire est attrayante. Mais on oublie que pour en jouir seulement une année, la nature nous condamne à diner trois cent soixante-cinq fois ».

Deux affaires jointes sous l’ancien régime
Depuis près de 230 ans maintenant, sous l’impulsion de Pierre-Augustin Caron – alias Beaumarchais (1) – les droits d’auteurs sont reconnus comme un gagne-pain après la Révolution française. C’est désormais le combat des défenseurs des droits d’auteurs et des droits voisins qui s’opposent aux plateformes Internet. En cause, la difficulté d’identifier le responsable de la communication au public lorsqu’un internaute indélicat se permet de mettre en ligne sans autorisation une œuvre protégée. « Responsable mais pas coupable ». On entend cette défense depuis les origines de l’Internet, chaque fois qu’une plateforme numérique (2) est assignée en raison de comportements illicites qui s’y tiennent. Mais l’évolution en cours du droit européen pourrait rendre la vie moins facile aux géants du Net. Dans la nouvelle affaire qui occupe la Cour de justice de l’Union européenne (CJUE), Frank Peterson, un producteur de musique, poursuit YouTube et sa maison-mère Google, devant les juridictions allemandes, au sujet de la mise en ligne – par des utilisateurs et sans son autorisation, sur la plateforme YouTube – de plusieurs musiques sur lesquelles il allègue détenir des droits (3). Elsevier, un groupe d’édition néerlandais, poursuit également devant les juridictions allemandes Cyando, l’exploitant de la plateforme numérique Uploaded, du fait de la mise en ligne par des utilisateurs, sans son autorisation, de différents ouvrages dont l’éditeur détient les droits exclusifs (4). La Cour fédérale de justice en Allemagne a soumis plusieurs questions préjudicielles à la CJUE sur l’interprétation du droit de l’Union européenne applicable en la matière. La question principale consiste à savoir si les exploitants de plateformes en ligne, telles que YouTube et Uploaded, sont responsables de la mise en ligne illégale d’œuvres protégées, effectuée par les utilisateurs de ces plateformes. La CJUE n’a toujours pas rendu son arrêt dans les deux affaires jointes, mais les conclusions de l’avocat général, Henrik Saugmandsgaard Øe, ont été publiées en juillet (5). Celui-ci précise le cadre juridique applicable à ces deux litiges : il s’agit de deux directives européennes, respectivement « Ecommerce » de 2000 sur le commerce électronique et « DADVSI » de 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information. La directive « E-commerce » a été modifiée par la directive de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique (« DADVMUN »), qui a mis en place, pour les exploitants de plateformes en ligne, un nouveau régime de responsabilité spécifique pour les œuvres illégalement mises en ligne par les utilisateurs de ces plateformes numériques. Cependant, cette nouvelle directive « DADVMUN » ne s’applique pas aux présents litiges étant donné qu’elle n’a toujours pas été transposée en droit allemand. Elle doit l’être dans chaque droit national des Etats membres au plus tard le 7 juin 2021. Pour l’heure, ces deux affaires « allemandes » ne peuvent pas encore s’appuyer sur la directive «DADVMUN» (6). Les conclusions de l’avocat général, qui sont souvent suivies par les juges de la CJUE, ont porté sur la responsabilité directe et la responsabilité indirecte de YouTube et de Uploaded, ainsi que sur la demande d’injonction judiciaire à l’égard de ces deux exploitants de plateformes numérique.

Responsabilité directe
• La responsabilité directe
des exploitants de plateformes en ligne est conditionnée par la réalisation d’actes de communication au public. La juridiction de renvoi demande si les exploitants de plateformes en ligne réalisent un acte de « communication au public », au sens de la directive « DADVSI » (7), lorsqu’un utilisateur de leurs plateformes y met en ligne une œuvre protégée. Pour répondre à cette question, l’avocat général opère une distinction fondamentale entre une simple fourniture d’installations, et la réalisation d’actes de communication au public (8). En réalité, selon lui, les exploitants de plateformes en ligne telles que YouTube et Uploaded jouent simplement un rôle d’intermédiaire par le biais de la fourniture d’installations aux utilisateurs de leurs plateformes. Ces exploitants ne décident pas, de leur propre chef, de communiquer des œuvres à un public. Ils suivent les instructions données par les utilisateurs de leurs services qui, eux, décident de transmettre des contenus déterminés et initient activement leur communication (9). Par conséquent, seuls les utilisateurs qui mettent en ligne des œuvres protégées réalisent un acte de communication au public proprement dite de ces œuvres. La responsabilité directe ou primaire susceptible de résulter de cette communication est alors supportée uniquement par ces utilisateurs. Il en résulte que YouTube et Uploaded ne sont, en principe, pas directement responsables de la mise en ligne illicite d’œuvres protégées, effectuée par les utilisateurs de leurs plateformes.

Responsabilité indirecte
• La responsabilité indirecte
des exploitants de plateformes en ligne est conditionnée par la connaissance du caractère illicite des informations stockées. Malgré l’absence de leur responsabilité directe, YouTube et Uploaded peuvent être indirectement responsables dans la mesure où ils « facilitent la réalisation, par des tiers, d’actes illicites de communication au public » (10). Cependant, l’article 3, paragraphe 1, de la directive «DADVSI » ne régit pas cette question. L’avocat général indique à cet égard que c’est l’article 14, paragraphe 1, de la directive « E-commerce » qui a vocation à s’appliquer. Conformément à cet article, un exploitant d’une plateforme en ligne telle que YouTube ou Uploaded ne peut être indirectement tenu responsable pour des informations qu’il stocke à la demande de ses utilisateurs, à moins que cet exploitant, après avoir pris connaissance du caractère illicite de ces informations, ne les ait pas promptement retirées ou rendus inaccessibles. Autrement dit, l’absence de connaissance du caractère illicite des informations constitue une cause d’exonération de la responsabilité indirecte des exploitants de plateformes en ligne. En l’occurrence, Henrik Saugmandsgaard Øe considère que YouTube et Uploaded peuvent bénéficier, en ce qui concerne leur responsabilité indirecte ou secondaire, de l’exonération prévue à l’article 14, paragraphe 1, de la directive « E-commerce », étant donné qu’ils ne jouent pas un « rôle actif » de nature à leur conférer une connaissance du caractère illicite des informations en question (11). L’avocat général précise néanmoins que l’exonération prévue est, en toute hypothèse, limitée à la responsabilité susceptible de résulter des informations stockées, et ne s’étend pas aux autres aspects de l’activité de l’exploitant en question (12).
• La demande d’injonction judiciaire à l’égard des exploitants de plateformes en ligne : une éventuelle possibilité indépendante de la responsabilité. Enfin, l’avocat général propose à la CJUE de juger que, indépendamment de la question de la responsabilité, les titulaires de droits peuvent obtenir, en vertu du droit de l’Union européenne, des injonctions judiciaires à l’encontre des exploitants de plateformes en ligne, susceptibles de leur imposer des obligations (13). En effet, l’article 8, paragraphe 3, de la directive « DADVSI » oblige les États membres à veiller à ce que les titulaires de droits puissent demander qu’une ordonnance sur requête soit rendue à l’encontre des intermédiaires dont les services sont utilisés par un tiers pour porter atteinte à un droit d’auteur ou à un droit voisin. En ce sens, les titulaires de droits doivent pouvoir demander de telles injonctions dès lors qu’il est établi que des utilisateurs portent atteinte à leurs droits, via les services de YouTube et Uploaded, sans devoir attendre qu’il y ait eu récidive et sans avoir à démontrer un comportement fautif de l’intermédiaire (14). Henrik Saugmandsgaard Øe indique toutefois que les mesures prises à l’encontre de YouTube et Uploaded dans le cadre d’une injonction doivent être proportionnées. A ce titre, ces mesures doivent assurer un juste équilibre entre les différents droits et intérêts en jeu et ne doivent pas créer d’obstacles aux utilisations licites du service de ces exploitants.
Le délai de transposition de la directive « DADVMUN » expire le 7 juin 2021. Une fois applicable, cette nouvelle directive devrait durablement changer le régime de responsabilité des exploitants de plateformes en ligne telles que YouTube et Uploaded, notamment en ce qui s’agit des œuvres illégalement mises en ligne par les utilisateurs. Un fournisseur de services de partage de contenus en ligne sera considéré comme responsable d’un acte de communication au public lorsqu’il permettra au public l’accès à des œuvres protégées par le droit d’auteur, mises en ligne par ses utilisateurs (15). Un tel fournisseur devra lui-même obtenir une autorisation des titulaires de droits, en concluant un accord de licence, par exemple, pour les œuvres mises en ligne par ses utilisateurs (16). Ces nouvelles responsabilités prévues par la directive « DADVMUN » sont inscrites dans le fameux article 17 plus que jamais controversé, comme l’illustre la lettre d’organisations de la société civile adressée le 14 septembre (17) à la Commission européenne qui a esquissé cet été ses lignes directrices sur l’application de cet article 17 (18).
Sous le régime de la future directive, il est probable que l’avocat général de la CJUE aurait conclu différemment en tenant YouTube et Uploaded responsables des actes illicites de communication au public réalisés par l’intermédiaire de leurs plateformes, à défaut d’obtenir une autorisation des titulaires de droits. Cette fois ci sans plus trouver refuge dans l’exonération de responsabilité prévue par la directive « E-commerce ».

Fin des privilèges, fin des impunités
La Révolution française donna raison à Pierre-Augustin Caron de Beaumarchais en mettant un terme au privilège des acteurs de la Comédie-Française qui pouvaient librement jouer les pièces en ne reversant que des rémunérations minimes aux auteurs. C’est à la fiction du « tout gratuit » que la directive « DADVMUN » vient mettre un terme, en appelant justement à la responsabilisation des citoyens et en sonnant la fin de l’impunité des plateformes qui doivent désormais se doter de mesures techniques afin d’identifier les contenus protégés mis en ligne. @

Zero-rating ou « trafic gratuit » : les opérateurs mobiles n’ont pas le droit de favoriser des applications

Le « zero-rating » pratiqué depuis des années par certains opérateurs mobiles, pour discriminer les applications, est illégal. C’est ce que proclame la justice européenne dans un arrêt du 15 septembre 2020, qui invalide ce « tarif nul » contraire à la neutralité du Net.

Le groupe de Mark Zuckerberg profite pleinement du zero-rating pour ses applications mobile Facebook, Messenger, Instagram et WhatsApp. Mais aussi Twitter et Viber dans la catégorie réseaux sociaux et messageries instantanées. Les applications de streaming sur smartphone en raffolent aussi, parmi lesquelles Apple Music, Deezer, Spotify ou encore Tidal. Tous ces acteurs du Net bénéficient d’un traitement de faveur dans le cadre d’un accord de « partenariat » avec certains opérateurs mobiles dans le monde.

La pratique « trafic gratuit » a dix ans
Le problème est que ces contenus « partenaires » ne sont pas décomptés du forfait de données mobile proposés par les opérateurs mobiles concernés, tels que l’opérateur télécoms norvégien Telenor qui a été épinglé en Hongrie pour ces pratiques par la Cour de justice de l’Union européenne (CJUE) dans un arrêt rendu le 15 septembre (1) (*) (**). Autrement dit, si ces applications-là sont gratuites même lorsque le forfait de données mobile est épuisé, les autres applications concurrentes restent, elles, bien payantes. En conséquence, avec le zero-rating, les données téléchargées par certaines applications ou services ne sont pas comptabilisées dans l’abonnement mobile de l’utilisateur, favorisant ainsi certains éditeurs au détriment d’autres. Ce favoritisme applicatif est connu depuis près de dix ans, mais les régulateurs n’ont rien fait.
Les opérateurs télécoms et les acteurs du Net ont commencé à proposer du zero-rating dans des pays émergents au prétexte de lutter contre la fracture numérique. C’est en partant avec de bonnes intentions que la cyberencyclopédie mondiale Wikipedia a été proposée dès 2012 dans une offre « zéro » afin d’en donner gratuitement l’accès au plus grand nombre de détenteurs de forfaits mobiles. Avec « free basics », Facebook avait lancé début 2016 pour les populations démunies en Inde un bouquet de services web de type « all-inclusive » comprenant sans supplément Wikipedia, là encore, la BBC et le moteur de recherche Bing de Microsoft. Il fallait faire partie de ces quelques applications et sites web triés sur le volet pour être accessible, sinon les autres contenus n’étaient pas disponibles ou en options payantes. Mais le deuxième pays le plus peuplé de la planète ne l’a pas entendu de cette oreille : le gendarme indien des télécoms n’avait pas apprécié cette discrimination violant délibérément la neutralité de l’Internet. En février 2016, le gouvernement de New Delhi a interdit au réseau social américain et à tout fournisseur d’accès à Internet présents sur le sous-continent indien de pratiquer des tarifs différenciés en fonction des services et contenus offerts. La France n’a pas échappé à cet appel du « trafic gratuit » (2) – traduction proposée début 2020 par la Commission d’enrichissement de la langue française – mais sans trop s’y aventurer. Jusqu’en octobre 2014, Orange le pratiquait avec la plateforme française de musique en ligne Deezer, dont l’opérateur historique est actionnaire minoritaire (3), le streaming étant alors compris dans certains de ses forfaits mobiles (4). Si les opérateurs mobiles français n’ont pas été vraiment « zéros », c’est notamment parce que l’Autorité de la concurrence les mettait sous surveillance. « Le débat autour de l’interdiction du zero-rating consiste à étendre le principe de neutralité des réseaux, qui porte sur la qualité d’acheminement du trafic, en lui adjoignant un principe de neutralité commerciale envers le consommateur final », avait déclaré en 2016 son président d’alors, Bruno Lasserre, dans Le Monde (5). L’association de consommateurs UFCQue choisir avait clairement exprimé son hostilité envers le « trafic gratuit » : « Nous sommes réticents à la sacralisation du zero-ratingqui, par définition, pousse les consommateurs de smartphones à s’orienter vers un service – généralement le leader capable de payer le plus – au détriment de ses concurrents, au risque de les faire disparaître », avait mis en garde Antoine Autier, devenu son responsable adjoint du service des études.

L’Orece n’avait rien trouvé à redire
Bien que le règlement européen « Internet ouvert » – alias neutralité de l’Internet – ait été adopté par les eurodéputés le 25 novembre 2015 (entré en vigueur le 30 avril 2016), le zero-rating a continué de prospérer dans les Vingt-huit (aujourd’hui Vingt-sept). Telenor en Hongrie, avec ses deux offres groupées « MyChat » et « MyMusic », est un exemple parmi d’autres. L’Organe des régulateurs européens des communications électroniques (Orece, en anglais Berec) a, lui, été attentiste dans son approche. A l’issue d’une consultation publique menée sur le sujet il y a quatre ans, il n’avait pas jugé bon de proposer d’interdire le zero-rating. C’est même tout juste s’il ne l’encourageait pas, préférant regarder « au cas par cas » (6). @

Charles de Laubier

Affaire « Schrems 2 » : la pérennité des transferts en dehors de l’Union européenne remise en question

Depuis vendredi 16 juillet 2020, les transferts de données à caractère personnel vers les Etats-Unis sur le fondement du « Privacy Shield » sont invalides. Les entreprises souhaitant donc continuer à transférer des données vers les Etats-Unis doivent identifier un autre mécanisme de transfert.

Par Laura Ziegler & Sandra Tubert, avocates associées, BCTG Avocats

La Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur dans l’affaire dite « Schrems 2 » (1) concernant les mécanismes de transferts de données hors de l’Union Européenne (UE). Elle a ainsi annulé le Privacy Shield qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées, tout en considérant que les clauses contractuelles types demeuraient, quant à elles, valides.

Le « Privacy Shield » en question
Les transferts de données vers des pays tiers à l’UE ne peuvent en effet avoir lieu qu’à certaines conditions (2). Au titre de ces conditions figurent le fait que la Commission européenne ait constaté que le pays tiers assure un niveau de protection adéquat (3) ou, faute de décision d’adéquation, que les parties aient mis en place des garanties appropriées comme les « règles d’entreprise contraignantes » (4), ou les « clauses contractuelles types » (5). Le Privacy Shield, lui, reposait sur un système d’auto-certification en vertu duquel les entreprises américaines s’engageaient à respecter une série de principes (6) en matière de protection des données auprès du ministère du commerce américain (FTC). Grâce à ce mécanisme, la Commission européenne avait considéré, en juillet 2016, au moyen d’une décision d’adéquation (7), que les Etats-Unis offraient un niveau de protection adéquate (8), permettant ainsi les transferts de données entre une entreprise de l’UE et des entreprises américaines auto-certifiées. Déjà sujet à de vifs débats au moment de son adoption qui suivait de près l’annulation de son prédécesseur (9), le Privacy Shield avait pour objectif de maintenir au plus vite les accords commerciaux entre l’UE et les Etats-Unis tout en assurant un niveau de protection suffisant des données transférées aux Etats-Unis.
La période de répit pour les transferts de données vers les Etats-Unis aura toutefois été de courte durée puisque l’Autrichien Max Schrems a poursuivi la procédure qui avait conduit à l’invalidation du Safe Harbor dans la désormais célèbre affaire « Schrems 1 ». Ce sont des suites de cette procédure, dans le cadre d’un litige opposant la « Cnil » irlandaise (DPC) à Facebook Ireland Ltd et à Max Schrems au sujet d’une plainte concernant le transfert de ses données par Facebook Ireland à Facebook Inc. aux Etats-Unis que plusieurs questions préjudicielles ont été soumises à la CJUE. Dans l’affaire « Shrems 2 », la CJUE a ainsi été amenée à examiner la validité du Privacy Shield au regard des exigences découlant du RGPD, lues à la lumière des dispositions de la Charte des droits fondamentaux de l’UE garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (10). La CJUE devait déterminer si les programmes de renseignement et de surveillance mis en place aux Etats-Unis et les garanties prévues dans la réglementation américaine (11) – pouvant concerner des ressortissants européens – étaient mis en œuvre dans le respect des exigences de proportionnalité et de respect des droits des personnes.
Si la CJUE rappelle que les articles 7 (respect de la vie privée) et 8 (protection des données personnelles) de la Charte des droits fondamentaux de l’UE ne sont pas des « prérogatives absolues », elle estime toutefois que l’intervention des autorités publiques américaines constitue une atteinte à ces principes et que les limitations qui en découlent ne sont ni proportionnées, ni nécessaires et ne permettent pas l’exercice de droits effectifs et opposables dont doivent nécessairement bénéficier les personnes concernées.

Atteinte aux droits fondamentaux
La CJUE souligne que, contrairement au niveau de protection offert par l’UE, les programmes de surveillance américains aux fins du renseignement extérieur (12) ne contiennent aucune limitation ni n’offrent aucune garantie pour les personnes concernées de l’UE (non américaines), celles-ci ne pouvant par ailleurs pas opposer leurs droits aux autorités publiques américaines devant les tribunaux. Pour parvenir à cette conclusion, elle précise notamment que le mécanisme de médiation prévu par le Privacy Shield n’est ni indépendant, ni pourvu de force contraignante à l’égard des services de renseignement. La CJUE ajoute que les programmes de surveillance fondées sur les dispositions de la PPD 28 ne sont pas limités au strict nécessaire (contrevenant ainsi au principe de proportionnalité), dans la mesure où ils permettent de procéder à une collecte massive de données et ce sans aucune surveillance judiciaire. Forte de tous ces griefs, la CJUE a donc logiquement considéré que la décision d’adéquation du Privacy Shield était invalide. Les critiques formées à l’encontre des « clauses contractuelles types » étaient un peu différentes, puisque celles-ci peuvent être utilisées pour des transferts vers tout pays tiers à l’UE.

Maintien des « clauses contractuelles types »
La CJUE était, entre autres, interrogée sur le fait de savoir si leur nature contractuelle, ayant ainsi un effet relatif à l’égard des autorités publiques étrangères, n’était pas de nature à remettre en cause leur validité, dans la mesure où elles pourraient ainsi ne pas permettre aux personnes concernées d’empêcher l’accès à leurs données et/ou d’exercer leurs droits. Elle a estimé que le seul fait que les clauses contractuelles types ne soient pas contraignantes vis-à-vis des autorités publiques d’un pays tiers n’était pas de nature à emporter l’invalidation de celles-ci. La CJUE a toutefois rappelé en substance qu’il appartient au responsable de traitement et au destinataire des données de vérifier préalablement à tout transfert si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD. Le cas échéant, ils sont alors tenus, soit de prendre les mesures nécessaires pour compenser l’insuffisance de garanties du pays destinataire, soit – si le pays tiers destinataire des données dispose d’une réglementation contraire aux principes figurant dans les clauses contractuelles types – de s’interdire un tel transfert ou d’y mettre fin. Concernant la deuxième question sur le fait de savoir si les mécanismes figurant au sein même des clauses contractuelles types étaient de nature à assurer de manière effective la protection adéquate requise par l’article 45 du RGPD, la CJUE apporte une réponse positive sans détours : les différents engagements pris par les parties au titre des clauses contractuelles types (13) sont autant de garanties qui permettent de constituer des mécanismes d’effectivité suffisante.
Cette décision est pourtant bien plus complexe qu’il n’y paraît. Il serait, à notre sens, hâtif d’en déduire que la CJUE donne un blanc-seing à l’utilisation des clauses contractuelles types pour les transferts hors UE. Elle invite, tout au contraire, les responsables de traitement et leurs destinataires à se lancer dans une véritable analyse détaillée de la législation du pays tiers pour vérifier si les garanties qui sont fournies par les clauses contractuelles types peuvent réellement y être respectées en pratique. Dans le cas contraire, ils devront mettre en place, en plus des obligations figurant dans le corps même des clauses, des garanties supplémentaires afin de rendre réellement effectifs les droits des personnes concernées et l’existence d’un recours juridictionnel. La nature de ces garanties ou mesures supplémentaires interroge : le point 132 de la décision de la CJUE semble pointer vers le considérant 109 du RGPD, qui lui-même invite les parties prenantes aux clauses contractuelles types à les compléter par d’autres clauses fournissant des garanties supplémentaires. L’introduction de garanties supplémentaires par voie contractuelle ne se heurtera-telle pas, dans certains cas, à la même suprématie des lois impératives américaines ? Dans l’attente d’orientations plus détaillées, le Comité européen à la protection des données (CEPD), qui réunit les « Cnil » européennes, précise que ce pourrait être des mesures juridiques, techniques ou organisationnelles (14). Ces deux derniers types de mesures étant certainement les plus à même d’assurer de manière plus effective une certaine protection des données.
La décision rendue par la CJUE ne s’arrête pas en réalité à la seule invalidité du Privacy Shield, et ce sont les transferts vers les Etats-Unis dans leur ensemble – quel que soit le mécanisme de transfert utilisé – qui sont en réalité largement questionnés par cet arrêt. Comme le reconnaît le CEPD, les législations américaines qui sont pointées du doigt dans l’arrêt de la CJUE s’appliquent en réalité à tout transfert vers les Etats-Unis quel que soit l’outil de transfert utilisé. De fait, la CJUE estime en réalité que le droit américain ne permet pas d’assurer à lui seul un niveau de protection essentiellement équivalent à celui prévu dans l’UE.
Par ailleurs, au-delà des Etats-Unis, ce sont les transferts en dehors de l’UE vers des pays disposant de lois permettant des programmes de surveillance intrusifs qui sont questionnés. En pratique, il est difficile pour les entreprises d’anticiper pour l’heure toutes les conséquences de cette décision ou l’effectivité des garanties supplémentaires qu’elles pourraient mettre en place, lorsque celles mises en place par la Commission européenne et le département de commerce américain ont échouées.
Les réactions des autorités de contrôle et du CEPD sont fortement attendues dans les prochains mois pour proposer aux entreprises des solutions pragmatiques leur permettant de tirer toutes les conséquences de cet arrêt, tout en pérennisant si possible les transferts hors UE.

Comment pérenniser les transferts ?
Dans l’attente d’orientations plus détaillées, les entreprises sont ainsi invitées à identifier tous leurs transferts en dehors de l’UE (15), le mécanisme de transferts utilisé, et à conduire une analyse de la législation du pays en question pour déterminer si celle-ci permet d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE. Et ce, afin d’envisager au besoin les éventuelles garanties supplémentaires effectives qui pourraient être mises en place. Néanmoins, la pérennité et la sécurité juridique des transferts hors UE pourraient ne trouver un véritable salut que par une réponse politique adaptée et attendue. @