Archives par mot-clé : CJUE

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Publié le par

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier

Conservation et accès aux données de connexion : le grand écart entre sécurité et libertés !

Publié le par

C’est un sujet à rebondissements multiples ! Entre textes et jurisprudence sur la conservation des données de connexion, opérateurs télécoms, hébergeurs et fournisseurs en ligne sont ballotés. Mais il y a une constante : pas de conservation généralisée et indifférenciée, et l’accès y est limité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral

Rappelons tout d’abord que les données de connexion désignent les informations techniques qui sont automatiquement engendrées par les communications effectuées via Internet ou par téléphonie. Il s’agit en quelque sorte des informations qui « enveloppent » un message, par exemple le nom et l’adresse IP d’un internaute, l’heure et la durée d’un appel téléphonique… Ce sont elles qui vont permettre de géolocaliser une conversation, ou de déterminer que telle personne échangeait à telle heure avec telle autre, ou encore qu’elle lui a transmis un message de tel volume.

Pas de conservation généralisée
On imagine donc assez aisément l’intérêt que peuvent avoir la collecte et l’utilisation de telles données et les atteintes que cela peut porter au droit fondamental à la confidentialité des communications. C’est précisément pour préserver le droit au respect de la vie privée que la conservation des données de connexion est interdite par principe. Les opérateurs télécoms, les fournisseurs d’accès à Internet ou encore les hébergeurs doivent donc effacer ou rendre anonymes les données relatives aux communications électroniques. Et ce, conformément à l’article 34-1 du code des postes et des communications électroniques (CPCE). Mais il existe des exceptions, envisagées immédiatement par le même texte, notamment pour prévenir les menaces contre la sécurité publique et la sauvegarde de la sécurité nationale, ainsi que pour lutter contre la criminalité et la délinquance grave. Aussi, les opérateurs de communications électroniques doivent ils conserver un certain temps – pour des raisons tenant à la défense d’intérêts publics ou privés – les données de connexion.
Ces obligations pèsent ainsi sur les fournisseurs d’accès – au cloud notamment – et d’hébergement mais aussi sur les entreprises qui fournissent un accès Wifi au public à partir d’une connexion Internet, en ce qu’elles sont assimilées à un intermédiaire technique. C’est ce que précise le même article 34-1 du CPCE : « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions [sur la conservation des données de connexion, ndlr] ». Ces acteurs se trouvent donc au cœur d’un arsenal sécuritaire avec des obligations qui n’en finissent pas de fluctuer au gré des réponses apportées par le législateur et/ou par le juge, tant au niveau national qu’européen.
La Cour de justice de l’Union européenne (CJUE) rappelle, de manière constante (1) que la conservation généralisée et indifférenciée, à titre préventif, des données de connexion par les opérateurs est interdite. Cependant, elle admet qu’une restriction au droit à la vie privée est possible lorsqu’elle est justifiée par une nécessité urgente, pour une durée déterminée, et lorsqu’elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique. Autrement dit, la haute juridiction européenne autorise l’obligation de conservation « ciblée » des données, obligation qui peut être renouvelable en cas de persistance de la menace.
C’est également la position adoptée par la CJUE qui s’est exprimée sur le sujet à deux reprises en 2022 : en avril d’abord, concernant la localisation d’appel téléphonique obtenue sur le fondement d’une loi irlandaise (2); en septembre 2022 ensuite, cette fois pour des poursuites pénales de délits d’initiés engagées sur le fondement du décret français de lutte contre les infractions d’abus de marché (3). Dans les deux cas, la haute juridiction européenne confirme que les législations nationales des Etats membres ne peuvent aboutir à la conservation généralisée et indifférenciée des données de trafic. A défaut, elle les juge contraire au droit de l’Union européenne.

En France, 3 décrets : délais de 1 à 5 ans
En France, la mise en œuvre de ce dispositif a donné lieu à l’entrée en vigueur de différentes obligations, répondant à un certain nombre de cas limitativement énumérés et pour une durée qui varie d’un an à cinq ans selon les informations concernées. Ces obligations sont prévues par trois décrets pris en application de l’article L.34-1 du CPCE, encore lui. Leur périmètre est en constante évolution, à la recherche d’un équilibre entre objectifs sécuritaires et protection de la vie privée :
Le décret n°2021-1361 relatif aux catégories de données conservées par les opérateurs de communications électroniques.
Le décret n°2021-1362 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (4).
Le décret n°2022-1327 portant injonction, au regard de la menace grave et actuelle contre la sécurité? nationale, de conservation pour une dure?e d’un an de certaines catégories de données de connexion (5).

Cour de cassation : les arrêts de l’été 2022
Quant à nos juridictions nationales, elles se sont penchées plus spécifiquement sur la question des personnes habilitées à avoir accès à ces données. Le législateur français a prévu que seules l’autorité judiciaire et certaines administrations – par exemple, les services de renseignement – peuvent exiger la communication des données de connexion. Le Conseil constitutionnel, saisi d’une question prioritaire de constitutionnalité (QPC) à l’initiative d’associations de défense des droits et libertés sur Internet (6), a considéré que les agents des douanes étaient exclus de ce périmètre. Ils ne peuvent donc pas exiger la communication de ces données (7).
La Cour de cassation a, quant à elle, apporté quelques précisions complémentaires dans plusieurs arrêts rendus au cours de l’été 2022, en juillet (8). Elle considère que l’accès aux données de connexion doit se faire sous le contrôle effectif d’une juridiction. En conséquence, le juge d’instruction – qu’elle a qualifié de juridiction indépendante et non de partie – ou une autorité administrative indépendante peuvent ordonner et contrôler les procédures d’accès aux données de connexion. En revanche, le procureur de la République, parce qu’il est une autorité de poursuite et non une juridiction, ne dispose pas de cette possibilité. En conséquence, l’accès aux données de connexion, lorsqu’il est ordonné par un procureur, serait irrégulier. De quoi remettre en cause la régularité de beaucoup de procédures pénales !
La haute juridiction française, dans ces mêmes arrêts du mois de juillet, a rappelé que la personne mise en examen, victime d’un accès irrégulier, a la possibilité de contester la pertinence des preuves tirées de ses données. De quoi permettre au juge pénal d’annuler les actes ayant permis d’accéder aux données !
La Conférence nationale des procureurs de la République (CNPR) y voit un « obstacle majeur à l’identification des délinquants et criminels », et a dénoncé les « conséquences [de ces décisions] sur la capacité des magistrats du ministère public et des enquêteurs à exercer leurs missions de manifestation de la vérité et de protection des victimes ». En dépit de cette levée de boucliers, la chambre criminelle de la Cour de cassation a entériné fin octobre 2022 (9) son analyse. Elle confirme que le juge d’instruction, qui est une juridiction, doit contrôler le respect par les enquêteurs des modalités d’accès aux données de trafic et de localisation qu’il a autorisées. Or, dans l’affaire en question, le magistrat instructeur n’avait pas autorisé en des termes spécifiques de sa commission rogatoire les réquisitions litigieuses, et ce notamment parce qu’il n’avait pas précisé la durée et le périmètre de cette commission rogatoire. La Cour de cassation a donc jugé que des réquisitions adressées aux opérateurs télécoms par les enquêteurs devaient être annulées sous réserve qu’un grief soit établi par le requérant.
La haute juridiction a précisé, dans ce même arrêt, que la preuve de ce grief suppose la démonstration de trois éléments : l’accès a porté sur des données irrégulièrement conservées ; la finalité ayant motivé l’accès aux données doit être moins grave que celle ayant justifié leur conservation (hors hypothèse de la conservation rapide) ; l’accès a dépassé les limites de ce qui était strictement nécessaire.
Le sujet a pris une dimension politique, en écho aux magistrats du Parquet. Deux sénateurs (LR) ont considéré que ces décisions « [les] privent ainsi que les forces de police judiciaire d’un outil précieux dans l’identification des auteurs de crimes ou d’infractions graves ». Yves Bouloux (10) et Serge Babary (11) ont chacun saisi le gouvernement d’une question écrite (12) afin que ce dernier prenne en urgence les mesures nécessaires afin de permettre aux procureurs de la République d’exercer leurs missions. Serge Babary a même appelé à envisager une réforme institutionnelle afin de conférer aux magistrats du Parquet les garanties d’indépendance exigées par le droit de l’Union européenne.

Les défenseurs de la vie privée veillent
Mais la question est loin de faire consensus avec ceux qui dénoncent avec force les « velléités sécuritaires du gouvernement ». En première ligne de ces défenseurs de la vie privée, il y a notamment l’association La Quadrature du Net, qui salue comme autant de bonnes nouvelles les décisions qui diminuent l’obligation de conservation des données de connexion. Ce fut le cas notamment en février 2022 à la suite de la décision du Conseil constitutionnel qui avait censuré une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion. (13) Si la lutte contre la criminalité légitime l’ingérence de l’Etat, reste donc toujours et encore à positionner le curseur à bon niveau pour ne pas porter atteinte à la vie privée et aux libertés individuelles. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris, est l’auteure
de « Cyberdroit » (Dalloz 2019-2020) et co-auteure
de « Cybersécurité, mode d’emploi » (PUF 2022).

RGPD : toute personne a un droit d’accès étendu à ses données personnelles, à deux limites près

Publié le par

La Cour de justice de l’Union européenne (CJUE) devrait suivre les conclusions de son avocat général sur l’interprétation étendue de l’article 15 du RGPD donnant droit aux individus l’accès à leurs données personnelles et à l’identité des destinataires de ces données. Sauf dans deux cas de figure.

D’après Giovanni Pitruzzella, avocat général à la Cour de justice de l’Union européenne (CJUE).

Giovanni Pitruzzella (photo), avocat général à la Cour de justice de l’Union européenne (CJUE), a présenté le 9 juin dernier ses conclusions dans une affaire opposant un citoyen autrichien dit « RW » et la poste autrichienne Österreichische Post (OP). Le litige commence en janvier 2019 lorsque le premier a demandé à la seconde d’accéder aux données à caractère personnel le concernant. Sa demande portait non seulement sur ses données personnelles conservées par l’OP, mais aussi celles communiquées à des tiers – afin d’être informé sur l’identité des destinataires. Et ce, en application de l’article 15 « Droit d’accès de la personne concernée » du RGPD, le règlement général européen sur la protection des données (1).

Le « ou » de la discorde
La poste autrichienne a répondu à RW en lui expliquant qu’elle utilise des données dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle les propose à des partenaires commerciaux à des fins de marketing. L’OP a aussi renvoyé le requérant vers deux sites web d’information, l’un sur les finalités du traitement des données, l’autre sur les catégories générales de destinataires auxquels elle communique les données à caractère personnel (en l’occurrence à des partenaires commerciaux, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et du commerce physique, des entreprises informatiques, des éditeurs d’annuaires téléphoniques et des associations telles que des organisations caritatives, des ONG ou des partis politiques). Pour autant, à aucun moment, l’OP n’a révélé à RW les destinataires spécifiques auxquels elle avait communiqué ses données.
L’intéressé a alors introduit un recours pour tenter de faire condamner la poste autrichienne à lui fournir davantage d’informations en application de l’article 15 du RGPD, concernant notamment d’éventuels transferts de ses données à caractère personnel à des tiers, ainsi que le ou les destinataires spécifiques auxquels ces données ont été communiquées. La demande de RW a ensuite été rejetée par les juridictions autrichiennes, tant en première instance qu’en appel, en invoquant le fait que l’article 15 du RGPD mentionne – parmi les huit types d’informations que doit fournir le responsable du traitement des données – « les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ». C’est ce « ou » qui rend flou l’interprétation de cet article 15. Selon l’avocat général de la CJUE, « cette disposition accorde au responsable du traitement la possibilité de choisir de se limiter à communiquer à la personne concernée les catégories de destinataires, sans devoir indiquer de manière nominative les destinataires spécifiques auxquels ses données à caractère personnel sont transmises ».
Or, sur ce point, il y a débat justement, certains voyant au contraire dans ce « ou » la possibilité pour la personne concernée soit de se contenter d’obtenir du responsable du traitement des données les « catégories » de destinataires auxquels ses données personnelles ont été communiquées, soit d’aller plus loin en exigeant la liste spécifique de ces mêmes destinataires. C’est dans ce sens que le citoyen RW s’est pourvu en cassation en introduisant un nouveau recours. Du coup, la cour suprême d’Autriche – Oberster Gerichtshof – a eu un doute quant à l’interprétation de l’article 15 du RGPD qui a été retenue par les juridictions du fond, et a donc décidé de surseoir à statuer et de poser à la CJUE la question préjudicielle suivante : « L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès [de la personne concernée] est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? ».

L’interprétation de l’article 15
Après avoir rappelé que l’article 15 du RGPD concrétise et précise le droit de toute personne d’accéder aux données la concernant, lequel droit est consacré par la charte des droits fondamentaux de l’Union européenne (2), l’avocat général Giovanni Pitruzzella s’est attardé plus précisément sur l’interprétation du « ou » (dans « les destinataires ou catégories de destinataires ») : « Le libellé de la disposition (…) ne permet pas (…), indique-t-il, d’apporter une réponse définitive à la question de savoir s’il convient de considérer que le droit d’accès de la personne concernée qui est prévu à cet article inclut nécessairement l’accès à des informations relatives aux destinataires précis de la communication de données à caractère personnel la concernant, ou si sa portée peut être limitée à l’accès à des informations relatives aux catégories de destinataires ». Et d’ajouter : « Cette disposition ne précise pas non plus explicitement s’il est possible de choisir entre les deux catégories d’informations possibles qui sont prévues (à savoir les “destinataires” ou les “catégories de destinataires“) ni à qui (c’est-à-dire à la personne concernée ou au responsable du traitement) il appartient, le cas échéant, de choisir à quel type d’informations l’accès doit être garanti ». Informations sur les destinataires Cependant, Giovanni Pitruzzella indique privilégier une interprétation de la disposition permettant à la personne concernée – « et donc pas au responsable du traitement comme l’ont jugé les deux juridictions nationales du fond dans la présente affaire » – de choisir entre les deux solutions alternatives qui y sont prévues. Et, dans cette logique, cet article prévoit le droit pour la personne concernée de demander, lorsque c’est possible, l’accès aux informations relatives aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Pour conforter cette interprétation, l’avocat général a rappelé le considérant 63 du RGPD prévoyant explicitement que la personne concernée doit « avoir le droit de connaître et de se faire communiquer […] l’identité des destinataires de ces données à caractère personnel ». Aussi, dans cette affaire « RW contre l’OP », ce considérant ne mentionne en aucune manière que ce droit d’accès de la personne concernée pourrait être limité, à la discrétion du responsable du traitement, aux seules catégories de destinataires.
La spécification des destinataires auxquels les données à caractère personnel de l’individu sont communiquées participe en outre à l’objectif du RGPD visant à la transparence des modalités de traitement des données à l’égard des personnes concernées, lesquelles peuvent prendre connaissance du traitement de leurs données et d’en vérifier la licéité : « L’exercice de ce droit d’accès doit, en particulier, permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles ont été communiquées à des destinataires autorisés. Cela présuppose en principe que les indications fournies soient les plus précises possibles », relève Giovanni Pitruzzella. Le considérant 39 du RGPD consacre aussi le principe de transparence (3). De plus, ce droit d’accès permet à la personne concernée d’exercer le droit de rectification, le droit à l’effacement – le droit à l’oubli – et le droit à la limitation du traitement qui lui sont conférés par, respectivement, les articles 15, 17 et 18 du RGDP. Aussi, le responsable du traitement est tenu de notifier à chaque destinataire – auquel les données à caractère personnel ont été communiquées – toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué, « à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés » (4).
Les destinataires ainsi informés sont dès lors obligés de procéder immédiatement à la rectification, à l’effacement ou à la limitation du traitement, pour autant qu’ils sont encore en train de traiter les données en question. En conséquence, afin de garantir l’effet utile des droits de la personne concernée à l’effacement, à la rectification ou à la limitation du traitement, celle-ci doit disposer – « en principe » – d’un droit à être informée de l’identité des destinataires spécifiques.
Néanmoins, l’avocat général de la CJUE voit « une limite » à cette extension du droit d’accès prévu par le RGPD, « dans au moins deux cas de figure » :
Dans le cas où il est matériellement impossible de fournir des informations sur les destinataires spécifiques, par exemple parce que ceux-ci ne sont pas encore effectivement connus. Aussi, dans ce cas, le droit d’accès de la personne concernée ne pourra porter que sur les « catégories » de destinataires.
L’exercice du droit d’accès de la personne concernée doivent être examinés au regard des principes de loyauté et de proportionnalité. Les demandes de la personne concernée ne doivent pas être manifestement infondées ou excessives et que, si tel est le cas, le responsable du traitement peut également refuser de donner suite à ces demandes.
Au-delà de ces deux cas de figure limitatifs, Giovanni Pitruzzella a rappelé qu’il convenait de « trouver un juste équilibre entre, d’un côté, l’intérêt de la personne à protéger sa vie privée (…) et, de l’autre, les obligations incombant au responsable du traitement ».

Deux limitations sont avancées
Conclusion de l’avocat général que la CJUE devrait suivre dans son prochain arrêt – comme elle le fait le plus souvent : « Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives » (5). @

Charles de Laubier

Plus personne ne parle de la société Trident Media Guard (TMG), 20 ans cette année, et pour cause

Publié le par

Spécialisée dans « la recherche de contenu et l’anti-piratage sur Internet », l’entreprise nantaise TMG – créée il y a 20 ans – avait défrayé la chronique après que les SACEM, SDRM, SCPP, SPPF et Alpa l’aient retenue en 2010 pour traquer les internautes « pirates » sur les réseaux peer-to-peer.

Cofondée en mars 2002 par Alain Guislain et Bastien Casalta sous le nom de Mediaguard, la société nantaise TMG – Trident Media Guard – compte depuis 2007 à son capital (1) et dans son conseil d’administration l’acteur-producteur Thierry Lhermitte. C’est elle qui fut choisie fin 2009 par quatre organisations des droits d’auteur de la musique et du cinéma (2) réunis en « consortium » : côté musique, la SACEM et sa SDRM, la SCPP et la SPPF ; côté audiovisuel, l’Alpa.

Des millions d’adresses IP identifiées
Ces organisations des ayants droits des industries de la musique et de l’audiovisuel piègent depuis lors les internautes en les amenant à télécharger sur les réseaux peer-to-peer des fichiers musicaux ou cinématographiques protégés par le droit d’auteur. Mais pas n’importe quel fichier. TMG, aujourd’hui présidé et dirigé par Alain Ghanimé (photo), s’infiltre en effet sur les réseaux peer-to-peer comme BitTorrent, eMule ou encore μTorrent pour y déposer des œuvres protégées (musiques ou films), mais leurs fichiers sont banalisés et surveillés à distance. Autrement dit, il s’agit de sorte de leurres ou d’appâts pour « flasher » les internautes pris en flagrant délit de piratage. C’est là que Trident Media Guard porte bien son nom : un trident – du latin tridens – est une fourche à trois pointes servant à harponner les poissons ! Une fois que l’un d’eux a « mordu », son adresse IP est transmise à l’Hadopi (désormais l’Arcom) dans le cadre du « traitement automatisé de données à caractère personnel » qui avait été officialisé le 7 mars 2010. Ce cadre permet à la commission de protection des droits (CPD) de collecter auprès de ces organismes représentant les ayants droit les pseudonymes et adresses IP – y compris le protocole peer-to-peer utilisé – de chaque abonné incriminé (3).
Bref, ce trident – attribut de nombreuses divinités marines… – évolue depuis une douzaine dans les eaux profondes du Net. Le pic du volume d’adresses IP « pirates » livrées à l’Hadopi par les ayants droit (SACEM/SDRM, SCPP, SPPF et Alpa) fut atteint en 2017 avec plus de 18,7 millions dont 15,6 millions adresses IP ont pu être identifiées. C’est d’ailleurs ce qui motive l’action en justice lancée en 2019 par La Quadrature du Net – avec la FFDN (4), la FDN (5) et Franciliens.net – pour demander l’abrogation du décret « Traitement automatisé de données à caractère personnel » (6). L’affaire suit son cours (7) devant la Cour de justice de l’Union européenne (CJUE). Pour les autres adresses IP qui n’ont pu être identifiées, la raison en est qu’il y a un recours croissant aux VPN (8), mais aussi à la pratique du partage d’adresses IP. Même les fournisseurs d’accès à Internet (FAI) recourent eux aussi au partage d’adresses IP entre plusieurs abonnés pour faire face à la pénurie des adresses IPv4 (9). Pour y remédier, l’Hadopi a obtenu qu’un décret pris fin 2021 – en vigueur depuis le 1er janvier 2022 – conserver et traiter le « port source » (« port associé ») que lui communiquent les ayants droit, au même titre que l’adresse IP, puis de le transmettre pour identification aux FAI (10).
Ainsi, alimentée par TMG, l’Hadopi a pu de 2010 à fin 2021 envoyer à des abonnés Internet plus de 13,3 millions d’emails d’avertissement (appelées « recommandations »), dont le deuxième envoi (soit 10 % de ce total) est doublé d’une lettre recommandée avec accusé de réception. Il leur est reproché des « téléchargements et mises à disposition illicites constatés à partir de leur connexion ». Et selon l’Hadopi, au moins sept personnes sur dix averties prennent des mesures pour éviter tout renouvellement d’actes de piratage (11). Concernant les autres, plus de 23.000 dossiers – toujours en cumulé sur plus de dix ans – ont fait l’objet d’un « constat de négligence caractérisée », envoyé par e-mail et courrier remis contre signature. Parmi eux, 8.476 dossiers ont été transmis à la justice (au parquet alias le procureur de la République) puis, selon les calculs de Edition Multimédi@, 3.148 suites judiciaires portées à la connaissance de l’Hadopi ont été engagées. Mais entre les relaxes, les classements sans suite, les rappels à la loi, les mesures alternatives aux poursuites et les régularisations sur demande du parquet, très peu de sanctions pénales sont in fine prononcées : quelques centaines tout au plus depuis douze ans.

Le P2P n’est pas mort ; il bouge encore
La pédagogie de l’Hadopi aurait largement triomphé sur le répressif. Si TMG continue à alimenter la réponse graduée en adresse IP, force est de constater que l’usage du peer-topeer s’est effondré au profit du streaming, du téléchargement direct et du live streaming. « Le nombre d’utilisateurs illicites des réseaux pair-à-pair est passé de 8,3 millions d’internautes par mois en 2009 à environ 3 millions par mois aujourd’hui, soit une baisse de plus de 60 % », s’est félicitée l’Hadopi dans son dernier rapport annuel. @

Charles de Laubier

Mineurs, réseaux sociaux et sites pornos : contrôle de l’âge et risques sur la vie privée

Publié le par

Alors qu’une procédure de l’Arcom s’éternisent devant la justice contre cinq sites web pornographiques (Pornhub, Ttukif, xHamster, Xnxx, et Xvideos), le contrôle de l’âge – pour interdire aux mineurs l’accès à ces contenus pour adultes ou l’inscription sur les réseaux sociaux – pose problème.

Cela fait un an que la Commission nationale de l’informatique et des libertés (Cnil) a publié – le 9 juin 2021 – huit recommandations pour « renforcer la protection des mineurs en ligne » (1), dont une – la septième – s’intitule « Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ». Car la question du contrôle de l’âge est complexe et difficile à mettre en œuvre au regard de la protection de la vie privée et du principe de l’anonymat. Or, 44 % des 11-18 ans déclarent avoir déjà menti sur leur âge pour utiliser les réseaux sociaux (2). Et quelle proportion des mineurs ont déclaré être majeurs sur les sites web à caractère pornographique ?

Vérifier l’âge : pas de procédé fiable (PEReN)
Vérifier l’âge de l’internaute reste encore à ce jour un problème car les solutions de contrôle sont soit facilement contournables (déclaration qui peut être mensongère, vérification par e-mail inefficace, …), soit portant atteinte à la protection des données et à la vie privée (reconnaissance faciale jugée disproportionnée, utilisation des données recueillies à des fins commerciales ou publicitaires, …). A ce jour, les réseaux sociaux – le plus souvent interdits aux moins de 13 ans (voire moins de 16 ans dans certains autres pays européens comme l’Allemagne), et les sites web pornographiques interdits aux moins de 18 ans – ne savent pas vraiment comment procéder pour être irréprochables dans le contrôle de l’âge de leurs utilisateurs.
A Bercy, le Pôle d’expertise de la régulation numérique (PEReN) – rattaché à la Direction générale des entreprises (DGE) et placé sous l’autorité conjointe des ministres chargés de l’Economie, de la Culture et du Numérique (3) – a publié le 20 mai dernier une étude à ce sujet. « Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ? », s’interroge cette entité interministérielle. Son constat : « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ». Le PEReN, qui est dirigé par Nicolas Deffieux (photo), fait aussi office de task force au service notamment de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), au moment où celle-ci – du temps du CSA (Conseil supérieur de l’audiovisuel) – a mis en demeure le 13 décembre 2021 cinq sites web pornographiques et les a enjoints de se mettre en conformité avec les nouvelles dispositions du code pénal. Faute d’avoir obtempéré dans les temps (ultimatum de quinze jours), les cinq plateformes incriminées – Pornhub, Ttukif, xHamster, Xnxx, et Xvideos – se retrouvent devant la justice, à l’initiative de l’Arcom, dans le cadre d’une procédure « accélérée » qui s’éternise (4).
Selon NextInpact, la présidente du tribunal judiciaire de Paris a considéré le 24 mai dernier comme « caduque » l’assignation adressée par l’Arcom aux fournisseurs d’accès à Internet (FAI) afin qu’ils bloquent les cinq sites pornos. Raison de cette annulation : l’Arcom n’a informé le tribunal de cette assignation que le jour même de l’audience, au lieu de la veille au plus tard (5). L’Arcom doit donc réassigner les FAI, ce qui reporte l’audience de quelques semaines. Toujours selon NextInpact, les avocats des sites pornos réclament le dépôt d’une question prioritaire de constitutionnalité devant le Conseil constitutionnel et d’une question préjudicielle à la Cour de justice de l’Union européenne (CJUE).
Tandis que le Conseil d’Etat, lui, a été saisi de l’annulation du décret d’application du 7 octobre 2021 portant sur les «modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » (6). Ce décret menace les FAI contrevenants à des sanctions pénales de « trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message [à caractère violent, incitant au terrorisme, pornographique] est susceptible d’être vu ou perçu par un mineur » (7). Surtout que « les infractions (…) sont constituées y compris si l’accès d’un mineur aux messages (…) résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans » (8). Cette dernière disposition introduite dans le code pénal découle de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Vie privée : ne pas enfreindre le RGPD
Il y a donc péril judiciaire dans le porno. D’autant qu’une deuxième procédure, distincte de celle de l’Arcom, suit son cours en référé déposé devant le tribunal judiciaire par deux autres associations – La Voix de l’enfant et e-Enfance – sur la base de la loi « Confiance dans l’économie numérique » (loi LCEN de 2004). Son visés les mêmes sites pornos que dans la première affaire, mais avec MrSexe, IciPorno, YouPorn et RedTube (soit neuf au total). Or, à ce jour, l’absence de procédés fiables pour contrôler l’âge des internautes sans porter atteinte à la vie privée – et en respectant au niveau européen le règlement général sur la protection des données (RGPD) – rend la situation compliquée pour les réseaux sociaux et les sites pornos. « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé », avait mis en garde la Cnil dans son avis du 3 juin 2021 sur le projet de décret « Protéger les mineurs » (devenu le décret du 7 octobre 2021).

Double anonymat préconisé par la Cnil
Dans sa délibération parue au J.O. le 12 octobre de la même année (9), la Cnil écarte aussi le recours à la carte d’identité : « Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».
Quoi qu’il en soit, l’article 8 du RGPD interdit l’utilisation de données personnelles des enfants âgés de moins de 13 à 16 ans, selon les Etats membres. La France, elle, a retenu l’âge de 15 ans. Ainsi, en-dessous de cet âge légal, la loi « Informatique et Libertés » impose – conformément au RGPD – le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale (10). Si la préoccupation première était de ne pas exposer les mineurs de 13 à 16 ans à de la publicité ciblée sur les réseaux sociaux, lesquels sont censés avoir mis en place des procédés de vérification de l’âge (11), cette obligation concerne désormais les sites web à caractère pornographique.
A noter que les jeux d’argent et de hasard en ligne (comme les paris sur Internet) sont également soumis au contrôle préalable de l’âge. Au niveau européen, la Commission européenne soutient l’initiative euConsent qui vise à mettre en place des systèmes de vérification de l’âge et de consentement parental qui soient interopérables, sécurisés et ouverts à l’échelle paneuropéenne – conformes à la certification eIDAS (12). Dans le consortium euConsent se côtoient Facebook, Google, les associations européennes respectivement des opérateurs télécoms historiques Etno et des fournisseurs d’accès à Internet EuroIspa, ou encore des organisations de protection de l’enfance. Le futur Digital Services Act (DSA), législation sur les services numériques, va introduire à son tour une interdiction de la publicité ciblée pour les mineurs.
Le contrôle de l’âge va se renforcer sur Internet, mais les méthodes de vérifications laissent à désirer. Le PEReN a classé dans son étude les solutions selon le mode de preuve employé (voir aussi tableau ci-dessous) :
• Le contrôle de l’âge, à l’aide d’un document portant l’identité et la date de naissance de la personne, à l’aide d’un document dont toutes les parties identifiantes auraient été supprimées avant tout traitement, ou enfin par les parents (contrôle parental) ;
• L’estimation algorithmique de l’âge sur la base du contenu publié ou utilisé par l’utilisateur sur le site ou bien à partir de données biométriques (voix, images, vidéos, …) ;
• Le déclaratif se basant uniquement sur les déclarations des internautes.
Le PEReN estime « primordial que la vérification de l’âge ne soit pas directement opérée par la plateforme ou le service en ligne afin de réduire le risque de croisement ou de réutilisation des données collectées lors de la vérification ». Il préconise alors « un mécanisme de tiers, voire de double tiers, [qui] peut être mis en place pour la transmission du résultat de la vérification précisément afin de minimiser ce risque ». Ainsi, ce mécanisme de doubletiers constitue une mise en œuvre possible du double anonymat recommandé par la Cnil, laquelle – en partenariat avec un laboratoire de l’Ecole polytechnique et le PEReN – a développé un prototype de ce mécanisme de vérification de l’âge par double anonymat pour en démontrer la faisabilité technique. D’après le PEReN « cette preuve de concept [devait] être rendue disponible fin mai ».
Contacté par Edition Multimédi@, son directeur général Nicolas Deffieux nous indique que la Cnil est maître des horloges. Le prototype est en effet entre les mains de Vincent Toubiana, qui y dirige le laboratoire d’innovation numérique (Linc). « Notre calendrier a été décalé et je n’ai actuellement aucune date de publication prévue », nous précise ce dernier. @

Charles de Laubier