Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

Publié le 27 mai 2019 par Charles de Laubier

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Le marché mondial du cloud est en plein boom, au risque d’échapper aux régulateurs nationaux

Publié le 13 mai 2019 par Charles de Laubier

Les services de cloud dans le monde devraient franchir cette année la barre des 200 milliards de dollars. Les « as a service » (activité, infrastructure, application, logiciel, …) et les mégadonnées du Big Data font les affaires des prestataires du cloud computing, où les GAFAM s’en donnent à coeur joie.

« Les services en nuage bouleversent vraiment l’industrie.
Les prestataires bénéficient de plus en plus de stratégies cloud-first d’entreprises. Ce que nous voyons maintenant
n’est que le début. D’ici 2022, la croissance de l’industrie
des services infonuagiques sera près de trois fois celle de l’ensemble des services numériques », prévient Sid Nag (photo), vice-président analyste chez Gartner.

Stratégies de cloud-first, voire de cloud-only
Le marché mondial du cloud devrait encore progresser de 17,5 % durant cette année 2019 pour franchir la barre des 200 milliards de dollars, à 214,3 milliards précisément. C’est du moins ce que prévoit le cabinet d’études international Gartner, qui a fait part
de ses projections début avril. Cette croissance exponentielle à deux chiffres a de quoi faire pâlir d’autres secteurs numériques. A ce rythme, après les 200 milliards de dollars franchis cette année, la barre des 300 milliards sera allègrement dépassée en 2022.
Le segment le plus dynamique de ce marché en plein boom est celui du cloud des infrastructures systèmes, appelé IaaS (Infrastructure as a Service), suivi par le cloud des infrastructures d’applications, appelé PaaS (Platform as a Service). La troisième plus forte croissance est aussi celle du premier segment du marché des nuages numériques, à savoir le cloud des services logiciel, appelé SaaS (Software as a Service), qui pèse à lui seul 43,8 % du marché en 2018 et devrait même en représenter 44,6 % en 2022. « D’ici la fin de l’année, plus de 30 % des nouveaux investissements des fournisseurs de technologie dans les logiciels passeront du cloud-firstau cloud-only. Cela signifie que la consommation de logiciels sous licence continuera de chuter, tandis que les modèles de consommation en nuage par abonnement et le SaaS continueront de croître », prévoit Gartner. Les segments du cloud les plus techniques tels que les processus opérationnels, désignés par BPaaS (Business Process as a Service), et le management et la sécurité, désignés a fortiori par MSaaS (Management and Security as a service), continueront de progresser mais dans une moindre mesure par rapport aux autres segments. On retrouve ces tendances d’évolution du marché infonuagiques en France, qui devrait passer de 5,1 milliards de dollars/4,6 milliards d’euros en 2018
à 8,6 milliards de dollars/7,6 milliards d’euros en 2022 (voir tableau ci-dessous). Sur l’Hexagone comme ailleurs, SaaS est le plus gros segment, suivi du BPaaS, de l’IaaS, du PaaS, puis du MSaS.
Selon l’organisme de statistiques européen Eurostat, 26 % des entreprises de l’Union européenne (UE) – soit plus d’une sur quatre – ont acheté des services de cloud computing l’an dernier. La proportion est majoritaire chez les grandes entreprises
(56 %) et bien moindre chez les petites et moyennes entreprises (23 %). La première utilisation qui est faite de ces prestations à distance dans le « nuage informatique » concerne la messagerie électronique (69 %), suivie de près par le stockage des fichiers sous forme dématérialisée (68 %). Viennent ensuite la puissance de calcul achetée pour faire fonctionner leurs propres logiciels (23 %) et l’utilisation de logiciels dans le cloud pour gérer les informations sur la clientèle (29 %).
Pour les entreprises en Europe qui exploitent le Big Data, soit 12 % d’entre elles, les mégadonnées proviennent de sources de données variées : près de la moitié ont d’abord analysé les données de géolocalisation des appareils portables, tels que les smartphones, des connexions sans fil comme le Wifi ou le GPS (49 %). Ensuite, les mégadonnées sont issues des données générées par les médias sociaux et réseaux sociaux (45 %), de dispositifs ou de capteurs intelligents (29 %) ou encore de données provenant d’autres sources (26 %). Si aujourd’hui le Big Data est une expression dépassée par l’IA (l’intelligence artificielle), l’IoT (l’Internet des objets) ou encore la Blockchain, le cloud, lui, prospère tant que les données s’affirment de plus en plus comme le pétrole du XXIe siècle – comme l’a encore montré la 8e édition du Big Data Paris en mars dernier (1).

Amazon et Microsoft en tête, suivis de Google
Le nuage informatique permet aux entreprises de créer un « lac de données », ou Data Lake (stockage des données dans leurs formats originaux ou peu modifiés), à partir duquel l’analyse des données et de leur valorisation peut s’opérer (data mining, marchine learning, business intelligence, cognitive search, master data management, …). Plus de dix ans après que l’expression « Big Data » ait été prononcée – le 22 décembre 2008 dans leur livre blanc (2) par trois chercheurs universitaires de la Computing Research Association américaine –, le cloud est un marché multimilliardaire à la croissance insolente. On estime que le tournant du cloud-first a été pris au cours des années 2013-2016, avec les GAFAM qui se sont engouffrés sur ce marché porteur pour leur plus grand profit. Amazon vient de doubler ses bénéfice grâce au cloud sur le premier trimestre 2019. Sa filiale AWS (Amazon Web Services), qui compte parmi ses clients Apple, Netflix ou encore Pinterest, est le numéro un mondial du secteur. Microsoft arrive en deuxième position grâce à Azure. Google Cloud est aussi à l’offensive avec le Français Sébastien Marotte, son vice-président pour la région EMEA. Le géant du Net compte parmi ses clients européens Airbus, Alstom, Sky, BNP Paribas, Drouot Digital, GRDF, Philips ou encore Veolia (3). L’entrée en vigueur il y a près d’un an en Europe – le 25 mai 2018 – du règlement général sur la protection des données (RGPD) ne semble pas freiner les ardeurs des GAFAM qui ont plus que jamais la tête dans les nuages. « Le “Cloud Act” américain est-il une menace pour les libertés des citoyens européens ? », s’était interrogé l’avocat franco-américain Winston Maxwell dans Edition Multimédi@ après l’affaire controversée « Microsoft » (4). Le Cloud Act fut adopté aux Etats-Unis il y a plus d’un an maintenant (5) – promulgué le 23 mars 2018. Ce texte de loi fédéral et sécuritaire américain prévoit une base juridique permettant
au gouvernement des Etats-Unis de conclure des accords avec des gouvernements étrangers concernant l’accès aux données détenues par les prestataires de services américains, et vice versa. En clair : les autorités publiques et les agences de renseignement américaines sont en droit d’obtenir – des opérateurs télécoms, des fournisseurs d’accès à Internet (FAI) et des fournisseurs de services de cloud – des informations et/ou enregistrements stockés sur leurs serveurs, que ces données et contenus « soient localisés à l’intérieur ou à l’extérieur des Etats-Unis ».

Cloud Act américain et RGPD européen
En outre, ce Cloud Act permet aux Etats-Unis de passer des accords bilatéraux avec d’autres pays, lesquels pourront à leur tour obtenir des informations de la part des fournisseurs de services américains. Or l’article 48 du RGDP dispose que « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Mais dans son amicus brief de 2017 dans l’affaire « Microsoft » (6), la Commission européenne estime que le RGPD tolérait – malgré son article 48 – des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. @

Charles de Laubier

Le « Cloud Act » américain est-il une menace pour les libertés des citoyens européens ?

Publié le 11 juin 2018 par Charles de Laubier

La controverse née avec l’affaire « Microsoft » sur la localisation
des données prend fin avec le « Cloud Act » dans lequel le Congrès américain précise que la localisation physique de données n’est pas
un élément pertinent lorsqu’un juge américain émet un mandat de perquisition.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 23 mars 2018, le Congrès américain a adopté une disposition qui modifie le code de procédure pénale afin de préciser que la localisation physique de données n’est pas un élément pertinent lorsqu’un juge américain émet un mandat de perquisition. De plus, cette disposition prévoit la mise en place d’accords bilatéraux entre pays ayant un niveau de protection adéquat des libertés individuelles, afin de faciliter l’échange de données dans le cadre d’enquêtes criminelles.

Plus de garanties aux Européens
Certains voient dans le « Cloud Act » – pour Clarifying Lawful Overseas Use of Data Act (1) – une menace pour les libertés des citoyens européens et une possible mise en cause de l’accord « Privacy Shield », le bouclier vie privée (2). En réalité, le Cloud Act sert simplement rétablir une situation qui existait avant la décision de la Cour d’appel américaine dans l’affaire Microsoft. Cette décision de 2016 de la Cour d’appel de Manhattan contredisait d’autres décisions qui estimaient qu’un juge pouvait ordonner la communication de toutes données sous le contrôle direct ou indirect de l’entreprise en cause, peu importe la localisation des serveurs (3). En raison de cette décision «Microsoft » (4), la Cour suprême des Etats-Unis s’apprêtait à rendre une décision sur l’interprétation de cette disposition du code de procédure pénale. Le Congrès américain a réagi plus vite en adoptant le Cloud Act, lequel met fin donc à cette controverse.
Aux Etats-Unis comme en France, il existe deux corps de lois relatifs à la collecte de données par les autorités : en premier lieu, le code de procédure pénale qui régit les enquêtes criminelles ; en deuxième lieu, les dispositions sur la collecte de données dans le cadre des activités de renseignement. Aux Etats-Unis, ces dernières dispositions se trouvent dans le « code de l’espionnage et de la guerre ». En France, ces dispositions se trouvent dans le « code de la sécurité intérieure ». La controverse entre l’Europe et les Etats-Unis après l’affaire Snowden concernait les activités de renseignement (5). Après l’arrêt « Schrems » de la Cour de Justice de l’Union européenne (CJUE) (6), la Commission européenne et le gouvernement des Etats-Unis ont négocié des changements afin de garantir que les citoyens européens ne font pas l’objet d’une surveillance de masse et bénéficient de certaines garanties qui n’existaient pas auparavant. Ces garanties n’ont pas été abrogées par l’administration Trump et le mécanisme du « Privacy Shield » reste intact pour l’instant. Les dispositions du récent Cloud Act ne concernent pas ces activités de renseignements. Il s’agit uniquement d’enquêtes criminelles encadrées par le code de procédure pénale américain. Le Cloud Act concerne une partie de ce code qui permet à un juge saisi par le procureur d’ordonner à un fournisseur de services de communiquer des données relatives à une personne suspectée d’avoir commis un crime. C’est la même procédure que celle appliquée lorsqu’il faut fouiller la maison d’un suspect. Le niveau de preuves et de garanties des droits individuels est à son niveau le plus élevé, car le procureur doit démontrer l’existence d’un faisceau d’indices concordants indiquant qu’une personne identifiée a bien commis un crime et que les preuves se situent probablement à tel ou tel endroit. Un mandat de ce type ne peut être délivré afin d’« aller à la pêche » pour des renseignements.
La logique est complètement différente de celle applicable en matière de renseignements où l’objectif est justement d’aller à la pêche pour des signaux faibles indiquant la présence de menaces graves contre les intérêts de l’Etat. Les dispositions du code de procédure pénale amendées par le Cloud Act ne font aucune différence entre les citoyens américains et les autres. Par conséquent, un Européen qui est visé par une enquête criminelle aux Etats-Unis bénéficie des mêmes garanties qu’un Américain. En matière de renseignements, la situation est différente. A l’origine,
les lois sur le renseignement aux Etats-Unis accordaient moins de droits
aux personnes situées en dehors du sol américain. C’était l’un des points principaux qui posait problème dans l’affaire « Privacy Shield » et qui a poussé l’administration américaine à accorder plus de garanties aux Européens dans le contexte des activités de renseignements.

Documents localisés à l’étranger
Avant la décision de la Cour d’appel dans l’affaire Microsoft, la plupart des tribunaux américains admettaient la possibilité d’ordonner la production de documents sous le contrôle direct ou indirect du prestataire, peu importe la localisation physique des données. Ainsi, si le prestataire pouvait avoir accès aux documents, le juge estimait qu’il était légitime d’exiger leur communication, même si ces documents étaient localisés à l’étranger.
La Cour d’appel fédérale a pris le contrepied de cette jurisprudence en décidant que la loi sur les mandats de perquisition ne permettait pas à
un juge d’ordonner la communication de documents localisés à l’étranger. La Cour suprême s’est saisie de la question mais a mis fin à l’affaire lorsque le Congrès américain a adopté le Cloud Act qui précise justement que la localisation physique des serveurs n’est pas importante en matière de mandat de perquisition.

Droit international et accords bilatéraux
Il faut rapprocher cette disposition de l’article 57-1 du code de la procédure pénale en France, lequel précise que les réquisitions concernent les données situées à l’étranger dès lors qu’il existe un point d’accès autorisé
en France et que la mesure n’est pas en contradiction avec le droit international. L’article 18 de la convention du Conseil de l’Europe sur la cybercriminalité – à laquelle les Etats-Unis sont signataires – évoque également la possibilité d’ordonner la communication d’informations
« sous le contrôle » du prestataire. Cette convention permet à une autorité d’ordonner : « à une personne présente sur son territoire de communiquer les données informatiques spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatique ou un support de stockage informatique ; et à un fournisseur de services offrant des prestations sur le territoire de la Partie, de communiquer les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services » .
Le Cloud Act rétabli la situation qui existait avec la décision de la Cour d’appel de 2016. Le débat dans chaque situation sera de savoir si les données sont « en la possession ou sous le contrôle » d’un prestataire.
Le deuxième apport du Cloud Act est de permettre la conclusion d’accords bilatéraux permettant aux autorités judiciaires de pays « amis » de pouvoir ordonner la communication rapide de documents sans passer par les procédures plus lourdes d’entraides judiciaires. En plus de la convention
du Conseil de l’Europe, les procédures d’entraides judiciaires actuelles s’appuient sur les accords bilatéraux de coopération dénommés MLAT (Mutual Legal Assistance Treaty). Le système actuel d’entraide judiciaire n’est plus adapté au volume d’affaires nécessitant de telles coopérations en matière de données. Un groupe de travail au niveau du Conseil de l’Europe planche sur le sujet, ainsi que la Commission européenne qui vient de proposer un règlement « e-evidence » – pour electronic evidence, ou preuves électroniques – pour faciliter l’accès aux données pour les juges.
Le Cloud Act s’inscrit donc dans cette tendance générale qui vise à trouver des mécanismes de coopération plus efficace entre autorités judiciaires, notamment pour les enquêtes sur les crimes les plus graves. Le Cloud Act permet aux opérateurs de communications électroniques et prestataires
de cloud de répondre à des requêtes judiciaires émises par un pays ayant conclu un accord avec les Etats-Unis.
Ces accords seraient autorisés uniquement avec des pays qui respectent les mêmes valeurs constitutionnelles que les Etats-Unis en matière d’enquêtes judicaires. Un tel accord est en négociation avec le Royaume-Uni et d’autres pays européens pourraient suivre. Pour un Européen, il paraît surprenant que les Etats-Unis insistent sur l’existence d’une protection adéquate en matière de libertés individuelles. Généralement, c’est tout le contraire : l’Europe reproche aux Etats-Unis l’absence de protection adéquate. Cependant, en matière d’enquêtes judiciaires, l’Europe et les Etats-Unis partagent à peu de choses près les mêmes systèmes de protection des individus. Aux Etats-Unis, ces protections découlent du 4e Amendement de la Constitution qui, depuis 1789, protège l’individu contre diverses formes de perquisitions par les autorités de police. Les règles de procédure dans le « Stored Communication Act » (7) et le Cloud Act respectent ces principes, et ne font aucune différentiation entre des citoyens américains et des citoyens européens. L’Europe et les Etats-Unis sont généralement sur la même longueur d’onde en matière d’enquêtes judiciaires, ce qui n’est pas le cas
en matière de renseignement où les suspicions européennes restent fortes. Et le droit international dans tout ça ? Le principe de « courtoisie internationale » (8) oblige chaque autorité à tenir compte de l’existence de lois étrangères et de s’efforcer d’éviter des conflits avec ces lois. Dans les procédures de discovery en matière civile, les juges américains reconnaissent de plus en plus l’importance des lois européennes en matière de protection des données à caractère personnel, et prennent ces lois en considération. Le Cloud Act inscrit le principe de courtoisie internationale dans la loi en matière de procédures pénales, mais uniquement à l’égard des accords bilatéraux de coopération.

Le RGDP : une barrière à la coopération ?
L’article 48 du règlement général sur la protection des données personnelles (RGDP, ou, en anglais GDPR), lequel est entré en vigueur depuis le 25 mai 2018, semble interdire tout échange de données en dehors d’une procédure d’entraides judiciaires. Selon la Commission européenne, cet article 48 n’est pas aussi catégorique et permet d’autres bases légales de transfert vers des autorités étrangères. Dans son amicus brief (9) devant la Cour suprême dans Etats-Unis, dans le cadre de l’affaire Microsoft, la Commission européenne a souligné que le RGPD tolérait des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. L’article 48 n’est donc pas une barrière infranchissable. @

La Commission européenne veillera à ce qu’Android de Google et iOS d’Apple respectent l’Internet ouvert

Publié le 12 mars 2018 par Charles de Laubier

Après une occasion manquée en 2010 de légiférer en Europe en faveur de la
« neutralité des terminaux », l’Arcep remonte au créneau – via le Berec – pour que la neutralité du Net ne se limite pas à l’accès aux réseaux. Il y a urgence à
ce que la Commission européenne s’empare du problème.

« Le cadre protégeant l’ouverture d’Internet étant aujourd’hui européen, il conviendrait que le législateur européen s’empare de ce sujet [de savoir si les terminaux numériques, smartphones en tête, respectent la neutralité de Internet, ndlr]. La dimension éminemment internationale des fabricants de terminaux et des éditeurs de systèmes d’exploitation conduit également à penser qu’à terme, l’échelle pertinente pour agir devrait être européenne », a conclu l’Arcep dans son rapport publié mi-février et intitulé « Smartphones, tablettes, assistants vocaux, … : les terminaux, maillon faible
de l’Internet ouvert » (1).

La balle est dans le camp de Bruxelles
Mais afin que Bruxelles fasse des propositions de mesures pour que les fabricants de terminaux – tels que Apple sous iOS ou Samsung sous Android (Google) – respectent le règlement « Internet ouvert » du 25 novembre 2015, l’Organe des régulateurs européens des communications électroniques (Berec) va l’y aider. Selon les informations obtenues auprès de Jennifer Siroteau (photo), responsable de l’analyse économique et de l’intelligence numérique à l’Arcep, « le Berec va publier à l’issue
de sa plénière des 8 et 9 mars son propre rapport sur les terminaux, intitulé “Report
on the impact of premium content on ECS (2) markets and effect of devices on the Openness of the Internet use” » (3). Si l’Arcep a bien l’intention de « mettre en oeuvre dès maintenant à l’échelle nationale » les pistes d’action qu’elle a formulées dans son rapport, c’est, dit-elle, « avec l’ambition de stimuler des démarches européennes ». D’ailleurs, le Bureau européen des unions de consommateurs (Beuc) et une demie douzaine de responsables européens d’entreprises font partie des personnes auditionnées, ayant participé aux ateliers ou répondu à la consultation publique de l’Arcep. Mais l’on peut regretter et s’étonner que celle-ci n’ait pas eu affaire à au moins un représentant de la Commission européenne. Qu’à cela ne tienne. Depuis le fameux règlement du 25 novembre 2015 « établissant des mesures relatives à l’accès à un Internet ouvert » (4) et les lignes directrices du 30 août 2016 édictées par le Berec
« pour la mise en oeuvre de ces nouvelles règles par les autorités de régulation nationales » (5) depuis avril 2016, la protection de la neutralité de l’Internet – que
ces textes ont préféré appeler « Internet ouvert » – est un engagement à l’échelle de l’Europe. Et les terminaux n’échappent pas à ce cadre protecteur pour les consommateurs. A preuve : le règlement européen mentionne une quinzaine de fois le terme « terminaux » ! De plus et surtout, le premier paragraphe de son article 3 lève toute ambiguïté : « Les utilisateurs finals ont le droit d’accéder aux informations et aux contenus et de les diffuser, d’utiliser et de fournir des applications et des services et d’utiliser les équipements terminaux de leur choix, quel que soit le lieu où se trouve l’utilisateur final ou le fournisseur, et quels que soient le lieu, l’origine ou la destination de l’information, du contenu, de l’application ou du service, par l’intermédiaire de leur service d’accès à l’Internet ». Les eurodéputés ont ainsi voulu dissocier le terminal –
les smartphone en tête, mais aussi les tablettes, les ordinateurs ou encore les assistants vocaux – de l’offre d’accès des, justement, fournisseurs d’accès à Internet (FAI).
Surtout que ce même article 3 du règlement « Internet ouvert » prévoit que l’exercice par les internautes et les mobinautes des droits énoncés dans ce premier paragraphe ne peut pas être limité par « des accords (…) sur les conditions commerciales et techniques et les caractéristiques des services d’accès à l’internet, telles que les prix, les volumes de données ou le débit, et toutes pratiques commerciales mises en oeuvre par les [FAI] ». Bref, pour l’Union européenne, la neutralité du Net ne s’arrête pas aux réseaux d’accès des opérateurs télécoms : les fabricants de terminaux et éditeurs de systèmes d’exploitation – comme iOS pour Apple et Android pour Google – sont eux aussi concernés. D’autant que les mobiles évoluent dans des écosystèmes
« propriétaires » capables de limiter leurs utilisateurs dans l’accès à certains contenus et services sur Internet, et, partant, d’en restreindre les usages en violation de l’Internet ouvert.

Une occasion manquée entre 2010 et 2014
Pour autant, souligne l’Arcep dans son rapport, « si le règlement européen sur l’Internet ouvert consacre la liberté de choix et d’usage du terminal, il n’impose pas d’obligation spécifique aux équipementiers et constructeurs de terminaux, ni aux autres maillons logiciels de la chaîne technique [entre l’utilisateur final et les contenus, voir schéma
ci-dessous, ndlr] ». Le régulateur français a eu le mérite de suggérer dès 2010 « un renforcement de la surveillance de la neutralité au niveau des terminaux et de leur couche logicielle ». Car la neutralité des réseaux suppose aussi une neutralité des terminaux. L’Arcep appelait alors dans un rapport sur la neutralité de l’Internet (6) à
un « renforcement de la neutralité des terminaux » en incitant déjà la Commission européenne à prendre des mesures dans ce sens. A l’époque, l’Arcep suggérait d’inscrire les dispositions en faveur de la neutralité des terminaux dans le cadre de
la révision de la directive européenne RTTE de 1999 sur les équipements de radio et terminaux de télécommunications (7). Sans succès : ce texte communautaire, abrogé en 2016, fut bien remplacé par la nouvelle directive RED de 2014 sur les équipements radioélectriques (8), mais celle-ci a in fine fait l’impasse sur la neutralité des terminaux. Et ce n’est pas faute pour l’Arcep d’avoir pointé il y a près de huit ans maintenant « la généralisation d’environnements propriétaires fermés limitant la liste et le type des applications pouvant être installées, des navigateurs utilisables, ou des sites accessibles – ceci de manière relativement indépendante des opérateurs ».

Applis préinstallées : choix imposés
Aujourd’hui, l’absence de neutralité des terminaux s’est doublée d’un risque d’abus de position dominante au détriment de la neutralité du Net. « Outre les barrières à l’entrée résultant des effets de club qui caractérisent les marchés de plateformes en général, le succès de systèmes d’exploitation mobiles concurrents à Android et iOS paraît donc compliqué. Faute de l’aiguillon d’une concurrence intense, les éditeurs de systèmes d’exploitation en place pourraient adopter des comportements susceptibles de remettre en cause l’ouverture d’Internet », met en garde le gendarme des télécoms. Pour autant, comme le souligne Jennifer Siroteau, « l’Arcep constate qu’il n’y a pas lieu, à ce jour, de considérer que les fabricants de terminaux ne respectent pas le règlement de 2015 : en effet, ces derniers ne sont pas visés par ce règlement ». Sans préjuger de ce que fera la Commission européenne, interpellée par la France et par le Berec au niveau européen, l’on constate qu’elle n’est pas insensible à la question des terminaux – en particulier des mobiles où sont préinstallées, outre le système d’exploitation (vente liée), des applications telles que moteur de recherche, service de messagerie, espace de cloud, service de vidéo, cartographie ou encore navigateur. Sauf exception, les mobinautes téléchargent rarement des applications aux mêmes fonctionnalités que
des « applis » préinstallées dont les choix sont imposés au client. En avril 2015, la Commission européenne a ouvert une enquête antitrust sur l’écosystème d’Android de Google sur lequel fonctionnent la très grande majorité des smartphones en Europe (Samsung en tête). En avril 2016, la procédure a été notifiée à sa maison mère Alphabet accusée d’abus de position dominante sur son système d’exploitation Android, son magasin d’applications Google Play Store et son moteur de recherche sur mobile Google Search. Le verdict était attendu pour… décembre 2017.
Bruxelles pointe notamment l’obligation faite aux fabricants de smartphones sous Android de préinstaller des applis Google s’ils souhaitent fournir l’accès à Google Play Store. Concernant cette fois la transparence des critères de référencement et de classement utilisés par les App Stores (mais aussi de politiques éditoriales, de règles
et délais de validation, de suppression des contenus, de documentation ouverte, …), la Commission européenne a prévu pour le printemps 2018 l’élaboration d’un « règlement sur la transparence des relations contractuelles entre entreprises et plateformes ». @

Charles de Laubier

Vous aimez déjà les GAFA américains ? Vous allez bientôt adorer les BATX chinois !

Publié le 29 janvier 2018 par Charles de Laubier

Google, Apple, Facebook et Amazon pour GAFA : les géants américains du
Net sont connus de tous. Baidu, Alibaba, Tencent et Xiaomi pour BATX : leurs homologues chinois restent à découvrir. Edition Multimédi@ passe en revue
ces chinois qui se mettent en quatre pour conquérir le monde, dont l’Europe.

Les BATX sont valorisés ensemble jusqu’à 1.246 milliards de dollars, contre
2.895 milliards de dollars pour les GAFA (au 25-01-18). Mais Tencent dépasse la capitalisation boursière de Facebook et investit dans Spotify, Snap et Skydance.
La bataille de titans est engagée. Alibaba s’étend en Europe jusqu’en France. Xiaomi débarque en Espagne. Baidu, déjà présent à Amsterdam avec Baidu TV, arrive… en voiture autonome.

• Le B de Baidu
Création : 18 janvier 2000. Siège : Pékin
PDG cofondateur : Li Yanhong « Robin » (photo) Principales activités : premier moteur de recherche
en Chine (le « Google chinois »), plateforme vidéo
iQiyi, contenus multimédias (musiques, films, séries,
jeux vidéo, …), publicité en ligne, cloud, etc.
Audience : 800 millions d’utilisateurs actifs
Chiffre d’affaires 2016 : 11 milliards de dollars
Résultat net 2016 : 2 milliards de dollars
Capitalisation boursière (au 25-01-18) : 89,2 milliards de dollars (« BIDU »
au Nasdaq)
Investissements ou partenariats récents : avec BlackBerry dans les voitures autonomes (2018), avec Microsoft dans la voiture autonome (2017), Continental
dans la voiture autonome (2017), dans l’intelligence artificielle, etc. @

• Le A de Alibaba
Création : 4 avril 1999. Siège : Hangzhou
PDG cofondateur : Jack Yun Ma (photo)
Principales activités : numéro un du e-commerce en Chine avec Alibaba.com (« Amazon chinois »), plateforme vidéo Youku Tudou (« YouTube chinois »), le microblogging Sina Weibo (« Twitter chinois »), place de marché d’enchères Taobao (Tmall.com, « eBay chinois »),
e-paiement Alipay, boutique 9Apps, cloud alias Aliyun, publicité en ligne, magasins en dur, etc.
Audience : 550 millions d’utilisateurs actifs sur mobile
Chiffre d’affaires 2017 : 24 milliards de dollars Résultat net 2017 : 6 milliards de dollars
Capitalisation boursière (au 25-01-18) : 500,7 milliards de dollars (« BABA » au Nyse)
Investissements ou partenariats récents : en France un centre de logistique (2018), Alibaba Cloud en Allemagne, avec Auchan/Sun Art en Chine (2017), etc. @

• Le T de Tencent
Création : 11 novembre 1998. Siège : Shenzhen
PDG cofondateur : Ma Huateng « Pony » (photo) Principales activités : messagerie instantanée QQ,
portail web QQ.com, application mobile de messagerie-réseau social-boutique WeChat (alias Weixin), plateforme de musique en ligne Tencent Music, éditeur de jeux vidéo comme « Honor of Kings », plateforme de gaming WeGame, etc.
Audience : Plus de 980 millions d’utilisateurs actifs sur WeChat
Chiffre d’affaires 2016 : 22 milliards de dollars
Résultat net 2017 : 6 milliards de dollars Capitalisation boursière(au 25-01-18) : 556,5 milliards de dollars (« 700:HK » Hong Kong)
Investissements ou partenariats récents : entrée au capital de Skydance (2018), ralliement de Google en Chine (2018), partenariat avec Carrefour (2018), participations croisées avec Spotify (2017), participation dans Tesla pour la voiture électrique (2017), participation dans Snap (2017), avec Ubisoft dans les jeux mobiles en Chine (2018), avec Lego dans jeux en ligne/réseau social (2017), dans la voiture autonome, dans le streaming musical avec Alibaba en Chine, etc. @

• Le X de Xiaomi
Création : 6 avril 2010. Siège : Pékin
PDG cofondateur : Lei Jun (photo)
Principales activités : cinquième fabricant mondial de smartphones (Mi Phone, Redmi Phone), fabricant ses propres microprocesseurs (le « Apple chinois »), fabricant de téléviseurs (Mi TV), et de « box » multimédia (Mi Box)
et d’ordinateurs ultraportables (Mi Notebook), fabricant d’objets connectés, cloud (Mi Cloud), etc.
Ventes : environ 110 millions de smartphones en 2017 (estimation sur 7,4 % de PDM) Chiffre d’affaires 2017 : 17 ou 18 milliards de dollars
Résultat net 2017 : au moins 1 milliard de dollars
Valorisation financière (introduction en Bourse en 2018) : 50 à 100 milliards de dollars Investissements ou partenariats récents : en Europe de l’Ouest avec une première implantation en Espagne (2017), malgré son échec pour y enregistrer sa marque de tablette « Mi Pad » (contestée par Apple), accord de licence de brevets avec Nokia (2017), accord de licence de brevets avec Microsoft (2016), etc. @