Après Facebook et Apple, Noyb – cofondée par l’Autrichien Max Schrems – s’attaque à Google

L’organisation Noyb indique à Edition Multimédi@ que « le plaignant français » (en fait plusieurs plaintes de Français) a reçu le 9 avril un e-mail de la Cnil lui confirmant la réception le 6 avril de sa plainte contre Google, accusé de le suivre sans son consentement via des « cookies » AAID.

« Nous ne connaissons pas l’étape de la procédure, mais nous savons que le plaignant [en fait plusieurs plaintes de Français épaulés par Noyb, ndlr] a reçu une confirmation de réception le jour du dépôt et il a reçu un autre courriel le 9 avril confirmant que la plainte avait été attribuée au “service des plaintes de la Cnil (1)” », nous a précisé une porte-parole de l’organisation cofondée en 2017 par l’Autrichien Maximilian Schrems (photo), tout en nous confirmant que « le plaignant est un citoyen français ». De son côté, la Cnil a répondu à Edition Multimédi@ qu’elle est « en train d’étudier la recevabilité des plaintes reçues par ce biais » – à savoir en « m[ettant] un “modèle” de plainte sur son site ».

Eviter l’Irlande via la directive « ePrivacy »
L’Android Advertising Identifier (AAID) est à Google ce que l’Identifier for Advertisers (IDFA) est à Apple. Ce sont des traceurs qui permettent, une fois déposés sous forme de « cookies » dans les terminaux des Européens, de les suivre à la trace justement dans leurs navigations sur le Web ou sur les applications mobiles, tout en capitalisant sur leurs comportements de visiteurs et de consommateurs à des fins de ciblages publicitaires et marketing. Comme pour l’IDFA d’Apple sur les terminaux sous iOS, l’AAID de Google est, selon Noyb, « un code de suivi non autorisé installé illégalement sur les téléphones Android ». Cinq moins après avoir déposé plainte – le 16 novembre 2020 – contre Apple et son traceur installé sous forme de cookies dans les terminaux iOS des utilisateurs européens, et sans leur consentement préalable pourtant rendu obligatoire par la directive européenne « ePrivacy » de 2002 (modifiée en 2006 et 2009), l’organisation Noyb (2) a de nouveau porté plainte le 6 avril dernier, mais cette foisci contre Google et son traceur du même genre. Alors que la plainte contre la marque à la pomme avait été déposée à la fois auprès de la « Cnil » allemande, le BfDI (3), et auprès de la « Cnil » espagnole, la AEPD (4), la plainte contre l’éditeur du système d’exploitation Android a, elle, été adressée à la Cnil en France (5). Dans ces deux affaires, « Apple/IDFA » et « Google/AAID », Noyb attaque les deux géants du numérique sur le fondement de la directive « ePrivacy » concernant le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (6). Car, selon l’organisation autrichienne, la directive sur la protection des données électroniques (ePrivacy) prévaut juridiquement sur le règlement général sur la protection des données (RGPD). Mais la directive présente un double avantage sur le règlement. D’une part, l’article 5.3 de la directive prévoit clairement que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données ». Chaque Etat membre de l’Union européenne (UE) a transposé en droit national cette disposition, comme en France dans la loi « Informatique et libertés ».
D’autre part, la directive « ePrivacy » permet à la « Cnil » nationale d’être compétente pour contrôler et sanctionner les pratiques dans le dépôt cookies et le recueil préalable du consentement des utilisateurs. Alors que si le plaignant de Noyb s’était appuyé sur le règlement RGPD, l’instruction de la plainte et ses éventuelles sanctions auraient dû être confiées à la « Cnil » en Europe considérée comme l’autorité « chef de fil » car relevant du pays européen où la plateforme numérique en question est basée. En l’occurrence, Apple et Google ont leur quartier général européen en Irlande – le premier à Cork, le second à Dublin. Cela aurait dû être alors à la « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC), d’instruire les deux affaires.

Le terminal personnel doit être sanctuarisé
Mais Max Schrems a voulu éviter d’en passer par l’Irlande où, comme il l’a affirmé à l’AFP le 21 avril, « 99,9% des dossiers sont tout simplement jetés à la poubelle » ! De plus, pour pouvoir mettre à l’amende Apple et Google, il aurait fallu s’accorder avec tous les pays de l’UE dans lesquels ces entreprises sont présentes. Ce qui est loin d’être gagné d’avance. Alors qu’en utilisant l’article 5.3 de la directive « ePrivacy », comme l’a déjà fait la Cnil en France (où il a été transposé dans la loi « Informatique et libertés ») pour sanctionner financièrement en décembre dernier Amazon (35 millions d’euros) et Google (100 millions d’euros) pour infraction aux règles sur les cookies (8), chaque « Cnil » est compétente sur son territoire pour contrôler et sanctionner.
Le considérant 24 de la directive « ePrivacy » est on ne peut plus clair sur l’extension du domaine de la vie privée des internautes et mobinautes : « L’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ».

Série d’affaires, de « Schrems 1» à « Schrems 4»
Et le législateur européen d’enfoncer le clou pour mettre en garde les plateformes numériques, réseaux sociaux et autres sites web : « Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné ». Tout est dit. L’article 5.3, lui, va ainsi règlementer deux types de traitement : le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur. L’organisation de Max Schrems part du principe que la directive « ePrivacy » est technologiquement neutre (confortée par un avis du groupement des « Cnil » européennes, le G29, en avril 2012) et considère que l’AAID de Google comme l’IDFA d’Apple sont « très similaire[s] à un identifiant de traçage présent dans un cookie de navigation ».
Ainsi, l’éditeur d’Android et le fabricant d’iPhone – voire des tierces parties telles que les fournisseurs d’applications mobiles – peuvent chacun de leur côté « accéder l’information stocker dans l’équipement terminal de l’utilisateur » et « ceci peut être utilisé afin de déterminer les préférences de l’utilisateur associées avec son [AAID ou IDFA] afin d’afficher des annonces pertinentes sur d’autres applications ou même sur des pages de site web non liés ». Ces affaires « Apple/IDFA » et « Google/AAID », que l’on pourrait surnommer les affaires, respectivement « Schrems 3 » et « Schrems 4 », interviennent après les deux précédentes affaires judiciaires initiées et remportées par Max Schrems. Avant qu’il ne crée Noyb, ce jeune homme (actuellement 33 ans) s’était fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats-Unis. Ce qui a amené la Cour de justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’était l’affaire « Schrems 1 » (9), laquelle a propulsé Max Schrems audevant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (10), celui-ci a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (11), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD).
Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (12). C’est l’affaire « Schrems 2 » (13) qui a renforcé la légitimité de Max Schrems (14) face à la firme de Mark Zuckerberg. Avec une quinzaine de personnes travaillant pour elle, l’organisation à but non lucratif Noyb, surnommée European Center for Digital Rights et basée à Vienne, ne se limite pas à ces affaires emblématiques puisque plus d’une centaine de recours l’occupent actuellement.

Données de localisation : « Schrems 5 » ?
Par exemple, Noyb a porté plainte en juin 2020 sur la base du RGPD contre l’opérateur mobile A1 Telekom en Autriche pour manque de transparence sur les données de géolocalisation collectées auprès de ses mobinautes. « Où étiez-vous ? Ça ne vous regarde pas ! ». En Australie cette fois, l’autorité de la concurrence ACCC a d’ailleurs pour la première fois au monde sanctionné le 16 avril Google pour avoir « induit les consommateurs en erreur au sujet de la collecte et de l’utilisation des données de localisation » (15). Il y a matière pour une affaire « Schrems 5 »… @

Charles de Laubier

Vie privée et télétravail : la consécration des VPN

En fait. Le 5 mai, la fondation Mozilla – créée dans la foulée du développement il y a vingt ans du navigateur Firefox – a rendu disponible en France sa solution de réseau privé virtuel, Mozilla VPN, pour permettre aux internautes de sécuriser et de masquer leurs connexions à Internet et de ne pas être géolocalisés.

En clair. Les VPN – Virtual Private Network – sont plus connus par les internautes des pays autoritaires ou dictatoriaux qui pratiquent la censure de contenus en ligne et les blocages d’accès à des plateformes étrangères. Mais échaudés par les atteintes en ligne à leur vie privée, le pistage de leurs navigations et géolocalisations à des fins publicitaires (sans parler des cookies), voire la fuite de leurs données personnelles, les internautes des pays démocratiques sont de plus en plus demandeurs de VPN. Le sigle fait même son entrée dans le Larousse 2022 !
« Pour vivre heureux vivons cachés » est le nouveau credo du Web, dont les connexions sécurisées « https » ne suffisent pas. Le VPN est une sorte de camouflage numérique et de bouclier en ligne, qui offre une sécurisation par chiffrement des données et masque l’adresse IP de l’internaute (une de ses données personnelles) pour ne pas être détecté, pisté ou identifié. Pratiqué de longue date par les technophiles, les réseaux privés virtuels se démocratisent au fur et à mesure que les offres de VPN grand public faciles d’utilisation sont proposées (NordVPN, IPVanish, Cyberghost VPN, Surfshark, etc). Et ce, moyennant paiement sur un mois (de 5 à 12 euros) ou sur six à trois ans (de 2 euros à 10 euros par mois selon la durée de souscription). Pour Mozilla VPN lancé le 5 mai en France et en Allemagne (1), les tarifs sont de 9,99 euros pour un mois, 6,99 par mois sur six mois ou de 4,99 euros pour douze mois (2). L’utilisation du navigateur Firefox n’est pas nécessaire, mais un compte Mozilla si. La fondation californienne à but non lucratif s’appuie pour cela sur la société suédoise Amagicom qui opère un réseau mondial de 750 serveurs (dans 30 pays) fonctionnant sur leur solution open-source de VPN, Mullvad, et sécurisé de bout-enbout (3) par le protocole de cryptage WireGuard. « Surfez, jouez, travaillez et streamez tout en préservant votre confidentialité sur Internet », promet la fondation Mozilla.
Depuis mars 2020, confinements successifs oblige, la Cnil (https://lc.cx/Cnil-VPN) et l’Arcep (https://lc.cx/Arcep-VPN) recommandent d’utiliser des VPN pour télétravailler ou se former en distanciel, et « éviter l’exposition directe sur Internet » (dixit la Cnil). Mais attention, « la combinaison de celui-ci [le VPN de l’employeur] avec votre Wifi peut engendrer un débit ralenti » (dixit l’Arcep). @

Jeunes internautes de moins de 13 ans et enfants influenceurs de moins de 16 ans sous surveillance

Alors qu’Instagram prépare une version « Kids » de son réseau social, la question de l’accès des mineurs de moins de 13 ans se pose de plus en plus. Entre l’intelligence artificielle et le contrôle parental, les TikTok, YouTube et autres Facebook cherchent à encadrer l’accès de la très jeune génération.

« Les enfants demandent de plus en plus à leurs parents s’ils peuvent rejoindre des applications qui les aident à suivre leurs amis. Une version d’Instagram où les parents ont le contrôle, comme nous l’avons fait avec Messenger Kids, est quelque chose que nous explorons. Nous en dirons plus prochainement », a lancé le 19 mars dernier dans un tweet (1) le directeur d’Instagram, Adam Mosseri. Sur le modèle de Messenger Kids, qui est opérationnels auprès des moins de 13 ans depuis 2017 aux Etats-Unis, aux Canada et quelques pays, avant d’être quasi généralisé dans le monde il y a un an, un « Instagram Kids » devrait donc voir le jour.

Les 13 ans de la loi américaine Coppa
Le patron d’Instagram réagissait à un article de Buzz Feed News qui révélait le 18 mars (2) le projet de Facebook de créer un Instagram pour les moins de 13 ans. Cela n’a pas manqué de susciter des réactions sur les réseaux sociaux, où justement les jeunes enfants en-dessous de cet âge-là n’ont pas le droit de s’inscrire. Cette interdiction aux moins de 13 ans a été officialisée par les Etats-Unis il y a huit ans maintenant, dans le cadre du Children’s Online Privacy Protection Act (Coppa). C’est sur cette loi américaine (3) fixant à 13 ans l’âge minimum pour pouvoir s’inscrire sur les réseaux sociaux – Facebook en tête – que les différents pays se sont alignés. Mais dans les faits, cette règle devenue universelle est largement enfreinte par de jeunes enfants et pré-adolescents qui contournent l’interdiction, soit en mentant sur leur âge, soit en utilisant l’identité d’un proche (un frère ou une soeur voire un ami-e complice, par exemple), soit en utilisant un compte d’un 13 ans ou plus à son insu. De nombreuses études ont démontré que des moins de 13 ans étaient bien présents sur les réseaux sociaux, Médiamétrie mesurant même l’audience des Facebook, Snapchat et autres TikTok à partir de l’âge de… 2 ans ! L’appétence des bambins pour ces plateformes d’échanges ne date pas d’hier : une étude Ipsos-Médiamétrie de 2015 révélait déjà que 57 % des 11–12 ans et 26 % des 9–10 ans avaient ouvert un compte. Plus récemment, en février dernier, le Bureau européen des unions de consommateurs (Beuc), dont est membre en France l’association UFC-Que Choisir, a déposé plainte (4) auprès de la Commission européenne contre l’application TikTok aux formats courts créatifs très prisée des jeunes. Ce recours, qui s’appuie sur « le règlement sur la coopération en matière de protection des consommateurs » du 12 décembre 2017 (Consumer Protection Cooperation Regulation), affirme que la plateforme chinoise accepte des inscriptions de moins de13 ans et s’inquiète du fait que « l’application est plébiscitée par les adolescents ». En France, UFC-Que Choisir affirme que « 45 % des enfants de moins de13 ans ont indiqué utiliser l’application » (5). Pourtant, TikTok tente d’y remédier, notamment avec son « Mode connexion famille » lancé en novembre 2020.
Instagram est aussi le terrain de jeu des moins de 13 ans, bien que cette limite soit bien la condition sine qua non dans ses conditions générales d’utilisation. « Nous exigeons que tout le monde ait au moins 13 ans pour utiliser Instagram et avons demandé aux nouveaux utilisateurs de fournir leur âge lorsqu’ils s’inscrivent à un compte pendant un certain temps. Bien que beaucoup de gens soient honnêtes au sujet de leur âge, nous savons que les jeunes peuvent mentir au sujet de leur date de naissance », a récemment reconnu la filiale de Facebook (la plateforme de photos et vidéos Instagram fut rachetée en 2012 pour 1 milliard de dollars). Adam Mosseri, le patron d’Instagram, veut y remédier. Cela passe selon lui par notamment restreindre les « DM» (direct messaging) entre les adolescents et les adultes qu’ils ne suivent pas, encourager les adolescents à rendre leur compte privé, ou encore les inciter à être prudents dans les « DM » (6). Dans l’annonce faite le 16 mars dernier concernant de nouvelles mesures vis-à-vis des plus jeunes, Instragam en appelle à l’IA et au machine learning : « Nous voulons en faire plus pour empêcher que cela se produise [les inscriptions en dessous de 13 ans], mais il est complexe de vérifier l’âge des gens en ligne et de nombreux membres de notre industrie sont aux prises avec ce problème ».

La « Cnil » italienne enquête depuis janvier
Et la filiale de Facebook d’ajouter : « Pour relever ce défi, nous mettons au point une nouvelle technologie d’intelligence artificielle et d’apprentissage automatique pour nous aider à assurer la sécurité des adolescents et à appliquer de nouvelles caractéristiques adaptées à leur âge ». De nouvelles fonctionnalités sont opérationnelles depuis le mois de mars dans certains pays, avant d’être généralisées partout dans le monde, a précisé Instagram. Par exemple, l’IA permettra de détecter lorsqu’un adulte envoie une grande quantité de demandes d’amis ou de messages à des personnes de moins de 18 ans. Les destinataires seront alertés dans leur DM en leur donnant la possibilité de mettre fin à la conversation, de bloquer, de signaler ou de restreindre l’adulte en question.
Fin janvier dernier, la GPDP – la « Cnil » italienne (7) – a demandé formellement à Facebook et à Instagram « des informations sur le traitement (des mineurs) » que font ces deux réseaux sociaux. « La “Garante” [surnom de la GPDP, ndlr] a demandé à Facebook, propriétaire d’Instagram, de fournir des informations, notamment le nombre et les profils détenus par la jeune fille et, le cas échéant, comment une jeune fille de 10 ans pourrait s’inscrire sur les deux plateformes », a-t-elle indiqué.

IA appelée à la rescousse (Instagram et TikTok)
La « Cnil » italienne faisait référence en particulier à la mort d’une fillette de 10 ans habitant à Palerme lors d’un défi dit du « jeu du foulard » sur TikTok. « Plus important encore, a poursuivi la “Cnil” italienne, des informations spécifiques ont été demandées sur les mécanismes d’enregistrement en place et les méthodes de vérification de l’âge appliquées par les deux réseaux sociaux pour vérifier le respect du seuil d’âge pour l’enregistrement ». Cette jeune victime avait ouvert plusieurs profils sur les deux réseaux sociaux de la firme de Mark Zuckerberg.
La GPDP a prévenu que son enquête allait s’étendre à tous les réseaux sociaux, notamment en ce qui concerne « les mécanismes régulant l’accès des enfants aux plateformes », dans le but d’« intensifie[r] son action pour protéger les enfants utilisant les réseaux sociaux » (8). Le 3 février dernier, la « Cnil » italienne a fait savoir que TikTok lui avait répondu avoir mis en oeuvre des mesures pour interdire l’accès aux utilisateurs de moins de 13 ans, tout en envisageant de « déployer des systèmes basés sur l’IA à des fins de vérification de l’âge » (9). Une campagne d’information sera également lancée par TikTok pour sensibiliser les parents et les enfants. Quant au groupe Facebook, il avait une quinzaine de jours pour répondre à la GPDP, mais aucune information n’a encore filtré du régulateur italien.
Intelligence artificielle ou contrôle parental ? Si Instagram et TikTok ont choisi la voie du traitement automatique à grand renfort de marchine learning, les parents sont aussi appelés à surveiller leurs chérubins. La plateforme vidéo YouTube a annoncé le 24 février dernier qu’elle allait dans les prochains mois proposer aux parents d’utiliser leur propre compte Google pour permettre à leurs enfants d’accéder leurs à YouTube mais dans le cadre de ce « compte supervisé », selon l’expression de James Beser (photo de droite), le directeur de produit « Kids and Family » (10) de la filiale vidéo de Google. Les parents régleront les contenus vidéo acceptables pour leurs enfants âgés de 13 ans et plus. Par ailleurs, le service YouTube Kids créé en 2015 et destinée des jeunes utilisateurs de plus de 13 ans intègre déjà le contrôle parental.
En France, le député Bruno Studer (LREM) – président de la commission des affaires culturelles et de l’éducation – a relancé la piste du contrôle parental par défaut. Dans une interview à Next Inpact publiée le 19 mars dernier, il s’en explique : « Il ne s’agit pour l’heure que d‘une piste de réflexion. Je repars du discours du président de la République de 2019 où le chef de l’Etat réclamait une solution robuste pour prévenir l’accès des mineurs aux sites pornos. Un sujet sur lequel je me suis penché. Nous en avons discuté ensemble. Nous devons désormais arriver à massifier l’utilisation du contrôle parental » (11). Plus d’un an après le discours d’Emmanuel Macron devant l’Unesco en novembre 2019 (12), le gouvernement a bien lancé en début d’année la plateforme en ligne Jeprotegemonenfant.gouv.fr pour inciter les parents à utiliser des outils de contrôle parental, afin de protéger les mineurs contre leur exposition potentielle ou avérée à la pornographie. Car celle-ci peut avoir des conséquences néfastes sur eux, tant sur leur développement psychologique que sur leur représentation de la sexualité. Insuffisant malgré la volonté présidentielle.
Mais le député Bruno Studer constate que le contrôle parental est très peu utilisé. « S’il était activé par défaut [le contrôle parental], sa désactivation supposera une décision de ceux qui sont responsables de l’intérêt psychique et physique des enfants à savoir les parents », avance le député du Bas-Rhin. Par ailleurs, la loi du 19 octobre 2020 encadre l’exploitation commerciale de l’image d’enfants de moins de 16 ans sur les plateformes en ligne. Le débuté Bruno Studer en était co-rapporteur. Il s’agit de protéger l’enfant influenceur lorsqu’il doit être qualifié de « travailleur-salarié » et/ou percevant des revenus importants relevant d’une activité commerciale (13).

Dans la vraie vie, clause « Roméo et Juliette »
Parallèlement, dans « la vraie vie » si l’on peut dire, les mineurs font aussi l’objet d’une proposition de loi visant à renforcer leur protection contre les violences sexuelles. Porté par le ministre de la Justice, Eric Dupond-Moretti, ce texte a déjà été adopté par l’Assemblée nationale mifévrier et se retrouve devant le Sénat (14). Il prévoit notamment deux nouvelles infractions concernant les mineurs de moins de 15 ans victimes de violences sexuelles commises par des personnes majeures, avec une exception via la clause dite « Roméo et Juliette » (15). @

Charles de Laubier

La Coalition for App Fairness veut une régulation des magasins d’applications dominés par Google et Apple

En six mois d’existence, la Coalition for App Fairness (CAF) est passée de treize membres fondateurs – dont Spotify, Epic Games (Fornite), Match Group (Tinder) ou encore Deezer – à plus d’une cinquantaine. Son objectif : combattre les pratiques anti-concurrentielles des « App Stores ».

Les magasins d’applications – les fameux « App Stores », au premier rang desquels Apple Store et Play Store– sont soupçonnés d’être des moyens pour les acteurs qui en contrôlent l’accès (gatekeepers) de privilégier leurs propres services au détriment des autres. C’est pour dénoncer ces comportements anticoncurrentiels que la Coalition for App Fairness (CAF) a été fondée en septembre 2020 (1). Depuis, elle fait monter la pression, surtout sur Apple – déjà dans le collimateur de la Commission européenne dans la musique (plainte de Spotify) et les jeux vidéo (plainte d’Epic Games).

Un code de conduite « App Store »
Cette coalition pour l’équité des applications, association à but lucratif, vient de désigner sa directrice générale, Meghan DiMuzio (photo). « Les appels en faveur d’une législation antitrust gagnent du terrain à l’échelle mondiale. Aucune concurrence, aucune option et aucun recours ont été acceptés depuis trop longtemps. Ce comportement monopolistique réduit la qualité et l’innovation, entraînant des prix plus élevés et moins de choix pour les consommateurs. Chaque utilisateur d’appareil devrait s’attendre à un choix illimité en ce qui concerne son propre pouvoir d’achat, et chaque développeur devrait avoir accès à des règles du jeu équitables », a-t-elle déclaré lors de sa prise de fonction (2). La CAF a établi une dizaine de principes de l’App Store, une sorte de code de conduite pour faire en sorte « que chaque développeur d’applications ait droit à un traitement équitable et que les consommateurs puissent avoir un contrôle total sur leurs propres appareils ».
Aucun développeur ne doit être contraint d’utiliser exclusivement une boutique d’applis ou les services annexes de son propriétaire, comme le système de paiement, ou d’acheter des obligations supplémentaires pour avoir accès à la boutique d’applis.
Aucun développeur ne doit être exclu d’une plateforme ou discriminé à cause de son modèle commercial, de la façon dont il distribue son contenu et ses services, ou s’il entre en concurrence d’une façon ou d’une autre avec le propriétaire de la boutique d’applis.
Chaque développeur doit avoir accès en temps opportun aux mêmes interfaces d’interopérabilité et informations techniques que les développeurs du propriétaire de la boutique d’applis.
Chaque développeur doit avoir accès aux boutiques d’applis, tant que son application répond à des normes justes, objectives, et non discriminatoires en matière de sécurité, confidentialité, qualité, contenu et sécurité numérique.
Les données d’un développeur ne doivent pas être utilisées pour le concurrencer.
Chaque développeur doit pouvoir communiquer directement avec ses utilisateurs par le biais de son application pour des raisons commerciales légitimes.
Aucun propriétaire de boutique d’applis ou de plateforme ne doit faire la promotion de ses propre applis ou services, ou interférer avec les choix des utilisateurs.
Aucun développeur ne doit être contraint de s’acquitter des frais injustes, déraisonnables et discriminatoires, de partager ses revenus ou de vendre contre son gré une partie de son application pour pouvoir accéder à une boutique d’applis.
Aucun propriétaire de boutique d’applis ne doit interdire des tiers de proposer des boutiques d’applis concurrentes sur sa plateforme, ni décourager les développeurs ou les consommateurs de les utiliser.
Les boutiques d’applis seront transparentes sur leurs règles, politiques, opportunités commerciales et promotionnelles, les appliqueront de manière égales et objectives, signaleront tout changement et publieront une procédure rapide, simple et équitable pour résoudre les litiges. Basée à la fois à Washington et à Bruxelles, la coalition s’attaque d’abord à Apple et à son écosystème iOS. Mais Google et son environnement Android, également dominant dans le monde, est aussi dans son collimateur. « Les plus grandes plateformes en ligne de la planète et les boutiques d’applis qui en régissent l’accès sont devenues une passerelle essentielle pour les consommateurs de produits et services numériques du monde entier. Si elles peuvent être bénéfiques quand elles sont gérées équitablement, elles peuvent aussi être utilisées par leurs propriétaires pour flouer les consommateurs et les développeurs », prévient la CAF.

France Digital attaque Apple devant la Cnil
La CAF vient d’accueillir un membre supplémentaire : France Digital. Cette association de start-up est très remontée contre Apple. Elle compte s’appuyer sur la CAF à Bruxelles, au moment où le futur Digital Markets Act (DMA) est en préparation (3). En attendant, France Digital attaque Apple devant la Cnil – plainte déposée le 9 mars – en accusant la marque à la pomme de ne pas demander le consentement préalable des utilisateurs pour des publicités personnalisées. @

Charles de Laubier

Brexit : entre l’Union européenne et le Royaume-Uni, les données personnelles sont entre deux eaux

Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.