Archives par mot-clé : Données personnelles

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.

Les associations de consommateurs veillent à ce que le Data Act mette les utilisateurs au centre

Publié le par

Les particuliers sont les principaux générateurs de données numériques provenant de leurs terminaux et objets connectés. Au-delà de leurs données personnelles, ils doivent avoir le contrôle sur l’ensemble des data qu’ils produisent. Afin que l’économie des données leur profite à eux aussi.

« En tant qu’initiateurs d’une grande partie de ces données, grâce à leur utilisation d’appareils connectés et de services numériques, les consommateurs doivent garder le contrôle sur la façon dont les données – qu’ils ont aidé à générer – sont partagées et avec qui. Ces données sont utiles pour toutes sortes de services dans l’économie, dont les consommateurs pourraient également bénéficier, tels que les fournisseurs de services concurrents ou un plus large choix de services après-vente, y compris la réparation et l’entretien », a prévenu Monique Goyens (photo), directrice générale du Bureau européen des unions de consommateurs (Beuc).

Data de 398 millions d’internautes de l’UE
Monique Goyens a ainsi interpellé le 23 février dernier la Commission européenne qui présentait ce jour-là sa proposition de règlement sur les données, baptisé Data Act, dont l’objectif est de favoriser une « économie des données » dans les Vingt-sept, et de préciser « qui peut utiliser et les données générées dans l’UE dans tous les secteurs économiques et accéder à ces données ». Le texte lui-même de ce projet de règlement sur les données est un document de 64 pages (1), dont la traduction dans d’autres langues est en cours. Mais le Beuc, qui est basé à Bruxelles et qui fête cette année ses 60 ans, met en garde l’Union européenne contre la mise en place d’un cadre législatif ne mettant pas les utilisateurs – en l’occurrence les 398 millions d’internautes européens, selon l’Internet World Stats (2) – au cœur de cette « libéralisation » de la data. « Par exemple, illustre concrètement Monique Goyens, les données générées par un réfrigérateur intelligent devraient pouvoir être transmises à un concurrent ou être consultées par un service tiers si le consommateur le souhaite. Ces données peuvent inclure les paramètres du réfrigérateur, des informations sur le contenu du réfrigérateur, la façon dont il interagit avec d’autres appareils intelligents dans la maison, ou sur la façon dont le réfrigérateur est utilisé ou peut être défectueux ». Autrement dit, le Data Act ne doit pas seulement favoriser l’exploitation par des tiers des masses de données, le plus souvent générées par les Européens des Vingt-sept, mais aussi les rendre utiles et bénéfiques pour les utilisateurs eux-mêmes. « La loi sur les données est un élément important du puzzle pour s’assurer que les données peuvent être consultées équitablement dans toutes les industries tout en donnant aux utilisateurs le plein pouvoir de décider ce qui arrive aux données qu’ils génèrent. Il est essentiel que les consommateurs décident ce qui arrive aux données qu’ils génèrent, quand ils les partagent et avec qui », insiste la directrice générale du Beuc. Quant au droit de portabilité des données, il doit pouvoir être simplement exerçable par chaque consommateur qui le souhaite lorsqu’il veut passer d’un prestataire de services numériques à un autre : réseau social, cloud, plateforme de contenus, logiciel, etc. Et surtout le Data Act prévoit d’étendre ce droit de « mobilité numérique » au-delà des données personnelles. En effet, le RGPD (3) limite ce droit aux données à caractère personnel. Le Data Act, lui, renforcera ce droit à la portabilité de la data à toutes les données, à caractère personnel ou non.
Dans une lettre adressée le 16 février à Margrethe Vestager, vice-présidente de la Commission européenne, en charge notamment du numérique, le Beuc plaidé pour que « le consommateur soit au centre de la proposition de règlement sur les données ». Car Monique Goyens et la cosignataire du courrier (4), Ursula Pachl, directrice générale adjointe du Beuc, reprochent à l’exécutif européen que « les discussions sur l’accès aux données sont souvent dominées par des considérations d’entreprise à entreprise et d’entreprise à gouvernement ». Alors que, insistent-elles, ce sont les consommateurs eux-mêmes qui jouent un rôle central dans l’économie des données ; ce sont eux qui fournissent et génèrent d’énormes quantités de données grâce à leur utilisation d’appareils connectés et de services numériques ; eux encore qui permettent à une myriade de services en ligne de prospérer et d’innover grâce à l’accès à leurs données d’utilisateur. « En d’autres termes, résument les deux signataires, ces données sont essentielles du point de vue de la concurrence, du choix du consommateur et de l’innovation. La loi sur les données doit suivre l’approche centrée sur l’humain décrite dans la communication de la Commission européenne intitulée “Une stratégie européenne pour les données” (5) ».

Les quatre exigences du Beuc
Dans ce courrier adressé en copie au commissaire européen chargé du marché intérieur, Thierry Breton, le Beuc estime que le Data Act devrait intégrer quatre éléments favorables aux consommateurs : • S’assurer que les consommateurs contrôlent les données générées par leurs appareils connectés et les services associés. Lorsque les consommateurs sont à l’origine des données, ils devraient pouvoir décider librement et contrôler quand et avec qui partager leurs données. • Un droit amélioré de portabilité des données ne devrait pas se limiter aux données à caractère personnel, comme c’est actuellement le cas avec le RGPD, et devrait être beaucoup plus facile à exercer qu’il ne l’est aujourd’hui dans ce dernier. • Prendre des mesures de protection visant à empêcher l’accumulation et l’exploitation supplémentaires de données de tiers par les entreprises qui gardent le contrôle (gatekeeper). Il s’agit d’un élément clé du Digital Markets Act (DMA) qui doit être réaffirmé dans le Data Act afin d’assurer une économie des données ouverte, concurrentielle et saine. • S’assurer que les consommateurs ont accès à tous les recours et mécanismes de recours nécessaires si leurs droits ne sont pas respectés, y compris ceux prévus par la directive sur les actions représentatives [appelées aussi actions de groupe, ou class action (6), ndlr].

Des données inexploitées ou verrouillées
« En plus de fournir un cadre dans lequel les données sont accessibles et partagées, la loi européenne sur les données doit compléter les règles existantes en matière de protection des données, de protection des consommateurs et de concurrence. (…) L’UE doit également veiller à ce que la loi sur les données ne finisse pas par renforcer les monopoles des Big Tech sur les données », a prévenu le Beuc (7), qui compte UFC-Que Choisir et le CLCV (8) parmi ses 46 organisations de consommateurs membres de 32 pays (9), donc bien au-delà des Vingt-sept.
La proposition de règlement sur les données s’inscrit dans un contexte où l’on assiste à un « data-boom », dont le volume va exploser et passer de plusieurs dizaines de zettaoctets à plusieurs centaines de zettaoctets d’ici la prochaine décennie. Or une grosse partie de ces gisements de data sont inexploités ou sous-utilisés, en raison de « problèmes juridiques, économiques et techniques ». Par exemple, la Commission européenne affirme que « 80% des données industrielles n’étant jamais utilisées ».
Le Data Act est là pour déverrouiller la situation. « Les nouvelles règles augmenteront le volume de données disponibles en vue de leur réutilisation et devraient générer 270 milliards d’euros de PIB supplémentaire d’ici à 2028 », avancent Margrethe Vestager et Thierry Breton qui ont présenté la proposition. Mais l’utilisateur final sera-t-il au coeur du dispositif comme le souhaitent les organisations de consommateurs fédérées par le Beuc ? C’est ce que tente de mettre en place la proposition du Data Act. Dans ses explications annexées à sa communication du 23 février, la Commission européenne donne un exemple précis : « Lorsque vous achetez un produit “traditionnel”, vous devenez propriétaire de toutes les pièces et de tous les accessoires de ce produit. En revanche, lorsque vous achetez un produit connecté – par exemple, un appareil domestique intelligent ou une machine industrielle intelligente – qui génère des données, il est souvent difficile de savoir qui peut faire quoi avec les données, ou il peut être stipulé dans le contrat que toutes les données générées sont exclusivement recueillies et utilisées par le fabricant ». Le Data Act permettra non seulement aux entreprises mais aussi aux particuliers de mieux contrôler les données qu’ils génèrent à partir de tous les objets connectés en leur possession : terminaux (smartphones, ordinateurs, tablettes, téléviseurs, …), enceintes connectées, appareils électro-ménagers connectés, ou encore objets dits intelligents. Les services de cloud tels que Amazon Web Services, Microsoft Azure, Google Cloud ou encre OVHcloud sont concernés par ce nouveau droit au contrôle des données. Ce contrôle des données sera assorti d’un « droit à la portabilité renforcé » qui permet de copier ou de transférer facilement des données entre différents services en concurrence. « Il sera plus facile de transférer des données et des applications (qu’il s’agisse d’archives photographiques privées ou de l’administration entière d’une entreprise) d’un fournisseur à un autre sans engager de frais, grâce aux nouvelles obligations contractuelles que la proposition présente pour les fournisseurs de services en nuage et à un nouveau cadre de normalisation pour l’interopérabilité des données et des services en nuage », explique la Commission européenne.
L’utilisateur aura en outre la possibilité de partager les données qu’il génère avec d’autres prestataires en vue d’améliorer les services rendus. L’article 3 du Data Act crée une « obligation de rendre accessibles les données générées par l’utilisation de produits ou de services connexes ». L’article 4 donne le « droit des utilisateurs d’accéder et d’utiliser les données générées par l’utilisation de produits ou de services connexes ». Et l’article 5 accorde à l’utilisateur le « droit de partager des données avec des tiers ». Ces dispositions inquiètent d’emblée les entreprises numériques, notamment américaines au sein de la CCIA (10), et les éditeurs de logiciels, dont ceux réunis au sein du BSA (11).

Obligation de partager avec des tiers
En pratique, pour prendre une situation précise, « le propriétaire d’une voiture ou d’une machine pourrait choisir de partager les données produites par leur utilisation avec sa compagnie d’assurances » et « ces données, agrégées auprès de plusieurs utilisateurs, pourraient également contribuer au développement ou à l’amélioration d’autres services numériques, par exemple en ce qui concerne la circulation routière ou les zones à haut risque d’accident ». Cela stimulera le développement d’un éventail plus large de services par des tiers avec lesquels l’utilisateur acceptera de partager des données, généralement pour un meilleur prix ou une meilleure qualité de service. @

Charles de Laubier

A 75 ans, l’Unesco – dirigée par Audrey Azoulay – prend des airs de régulateur mondial de l’Internet

Publié le par

C’est en novembre 1946 qu’est formellement créée l’organisation des Nations Unies pour l’éducation, la science et la culture. Soixante-quinze ans après, son onzième directeur général et deuxième femme – Audrey Azoulay – a été réélue pour un second mandate de quatre ans. Parmi ses priorités : le numérique.

Comme en octobre 2017, la Française Audrey Azoulay (photo) a été élue en novembre 2021 – cette fois pour un second mandat de quatre ans – à la direction générale de l’Unesco, lors de la 41e conférence générale de celle-ci, avec à nouveau le soutien de « la République française » qui a proposé une seconde fois sa candidature. Entre le précédent locataire de l’Elysée, François Hollande, et l’actuel, Emmanuel Macron – lequel, faut-il le rappeler, y a été le secrétaire général adjoint du premier puis « son » ministre de l’Economie, de l’Industrie et du Numérique (avant de devenir son rival) –, il y a un point commun : celui d’avoir été à l’origine de la nomination d’Audrey Azoulay à la tête de cette organisation onusienne basée à Paris. Autant son accession à ce poste international n’avait pas été évidente il y a quatre ans, autant sa réélection est passée comme une lettre à la poste : sur 193 Etats membres de l’Unesco, 169 ont voté le 9 novembre, dont 155 voix se sont portées sur l’ancienne ministre de la Culture et de la Communication (après avoir été conseillère dans ces domaines auprès de François Hollande à l’Elysée). Il faut dire que l’énarque était seule en lice pour ce mandat 2021-2025, alors que pour remporter son premier mandat (après une candidature déposée in extremis) elle avait dû battre le Qatari Hamad bin Abdulaziz al-Kawari.

Encadrer l’intelligence artificielle, les algorithmes et les données
Bientôt quinquagénaire (en août 2022), la voici à pied d’œuvre pour quatre nouvelles années à l’Unesco, laquelle organisation a fêté ses 75 ans le 12 novembre dernier . Le premier jour de cette 41e conférence générale de l’Unesco, qui s’est tenue du 9 au 24 novembre, Audrey Azoulay a prononcé – en français, en anglais et en espagnol – son discours de politique générale. Plus que jamais, en plus des défis de l’éducation, de l’environnement et de la paix, le défi du numérique est désormais au cœur de son action. « Le quatrième défi que je souhaite relever est celui de construire un univers numérique qui soit au service de nos valeurs sans les assujettir A l’ère des métavers, des mégadonnées et des robots d’Asimov [écrivain américano-russe et biochimiste, auteur de science-fiction et de vulgarisation scientifique, ndlr], nous avons besoin d’orientations claires », a déclaré la directrice générale fraîchement reconduite à la tête de l’Unesco. Pour Audrey Azoulay, l’organisation onusienne doit avoir son mot à dire sur le monde du numérique, comme elle l’a eu sur le génome humain par exemple, quand bien même 2,9 milliards de personnes sur près de 8 milliards d’être humains ne sont toujours pas connectés, selon l’Union internationale des télécommunication (UIT), elle aussi organisation des Nations Unies (2).

Recommandations et directives opérationnelles
Sur fond de fracture numérique, l’Unesco veut sans tarder dompter l’intelligence artificielle (IA) : « Il appartiendra à cette conférence générale d’incarner cette voix en se prononçant sur l’adoption du premier instrument normatif mondial sur l’éthique de l’intelligence artificielle. Il faudra ensuite lui donner vie et forme, en aidant les Etats membres à le mettre en oeuvre, en renforçant les capacités et en suivant de près les progrès accomplis ». Une quinzaine de jours après cette déclaration, l’Unesco présentait le tout premier accord mondial sur l’éthique de l’IA – une « recommandation sur l’éthique de l’intelligence artificielle » d’une trentaine de pages (3) adoptée formellement le 22 novembre lors de la 41e conférence générale de l’Unesco. L’ont ratifiée 193 pays, y compris la Russie, la Chine ou l’Iran, mais pas les Etats-Unis ni Israël qui ne sont plus membres de l’Unesco. « Les technologies de l’IA peuvent rendre de grands services à l’humanité et tous les pays peuvent en bénéficier, mais elles soulèvent également des préoccupations éthiques de fond, à l’égard, par exemple, des biais qu’elles sont susceptibles de comporter et d’accentuer, lesquels pourraient entraîner discrimination, inégalité, fractures numériques et exclusion, menacer la diversité culturelle, sociale et biologique et entraîner des clivages sociaux ou économiques », met en garde l’Unesco. Et d’insister sur « la nécessité d’assurer la transparence et l’intelligibilité du fonctionnement des algorithmes et des données à partir desquelles ils ont été entraînés ».
Cette recommandation sans précédent, et à portée mondiale, part du constat qu’il n’y a pas de définition unique de l’IA, « celle-ci étant appelée à évoluer en fonction des progrès technologiques » mais qu’il est bien question de « systèmes capables de traiter les données et l’information par un processus s’apparentant à un comportement intelligent, et comportant généralement des fonctions de raisonnement, d’apprentissage, de perception, d’anticipation, de planification ou de contrôle ». L’Unesco appelle les Etats à encadrer l’IA quant à ses « implications éthiques » dans plusieurs domaines : éducation, science, culture, communication et information. Par exemple, concernant « l’identité et la diversité culturelles », l’Unesco estime avec inquiétude que « les technologies de l’IA peuvent enrichir les industries culturelles et créatives, mais aussi aboutir à une concentration accrue de l’offre, des données, des marchés et des revenus de la culture entre les mains d’un petit nombre d’acteurs, avec des répercussions potentiellement négatives sur la diversité et le pluralisme des langues, des médias, des expressions culturelles, la participation et l’égalité ». Autre préoccupation : l’IA jouant un rôle croissant dans le traitement, la structuration et la transmission de l’information, « les questions du journalisme automatisé et de l’utilisation d’algorithmes pour diffuser des actualités et pour modérer et organiser des contenus sur les réseaux sociaux et les moteurs de recherche » soulèvent de multiples sujets : accès à l’information, désinformation, mésinformation, discours de haine, discrimination, liberté d’expression, protection de la vie privée, éducation aux médias et à l’information, etc… « Les Etats membres devraient veiller à ce qu’il soit toujours possible d’attribuer la responsabilité éthique et juridique de tout stade du cycle de vie des systèmes d’IA à des personnes physiques ou des entités juridiques existantes », recommande notamment l’Unesco, laquelle propose avec l’ONU d’apporter son « soutien » aux pays du monde pour qu’ils puissent « adopter une approche d’”espace commun numérique” des données » et « accroître l’interopérabilité des outils et des ensembles de données ». Cette recommandation « Ethique de l’IA » vient compléter les avancées de l’Unesco dans le domaine du numérique, à travers ses « directives opérationnelles » de mise en oeuvre dans l’environnement numérique de la Convention de 2005, à savoir la Convention de l’Unesco sur la protection et la promotion de la diversité des expressions culturelles.
Celle-ci, historique, fut signée le 20 octobre 2005 à Paris. Les récentes directives opérationnelles sur le numérique, qui sont comparables à des décrets pour les lois (c’est-à-dire contraignantes mais sans sanctions), ont commencé à être élaborées il y a huit ans (4). Il s’agit d’adapter ce texte international qu’est la Convention de l’Unesco – ratifiée par 150 pays (5) et par l’Union européenne – pour que l’éducation, la science et la culture soient protégées et promues sur Internet. Et ce, en coopération avec les GAFAM (américains), les BATX (chinois), les YVOT (russes) et toutes les plateformes numériques du cyberespace. Les premières « directives opérationnelles destinées à promouvoir la diversité des expressions culturelles dans l’environnement numérique » (6) ont été adoptées en juin 2017 et une « feuille de route » (7) pour leur mise en œuvre a été établie en juin 2019 par la prédécesseure d’Audrey Azoulay, la Bulgare Irina Bokova.

Convention de 2005 : 15e comité début 2022
La quinzième session du « comité intergouvernemental pour la protection et la promotion de la diversité des expressions culturelles », qui se tiendra du 8 au 11 février 2022, sera décisive sur les avancées « numériques » de la Convention de 2005 et sur le bilan de son Fonds international pour la diversité culturelle (FIDC) ou IFCD (8). Problème : les Etats-Unis ne sont plus membres de l’Unesco depuis 2019 et encore moins signataires de la Convention de 2005. Outre le reproche de « préjugés anti-israéliens » qu’ils font à l’Unesco (qu’Israël a quitté en même temps), les Américains exigent depuis des années d’inclure les services audiovisuels et culturels dans les accords de libreéchange (9). Audrey Azoulay réussira-t-elle l’exploit de faire revenir les Etats-Unis de Joe Biden, et Israël, dans l’organisation culturelle de l’ONU ? Ce serait la plus grande réussite de son second mandat qui s’achèvera en novembre 2025. @

Charles de Laubier

Pourquoi WhatsApp a écopé en Europe d’une amende ré-évaluée à 225 millions d’euros

Publié le par

La « Cnil » irlandaise avait proposé fin 2020 à ses homologues européennes de mettre à l’amende WhatsApp et sa maison mère Facebook à hauteur de 30 à 50 millions d’euros. « Insuffisant ! », ont-elles estimé. Leur comité européen (CEPD) leur a donné raison et la note a plus que quadruplé.

La « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC) dirigée par la commissaire Helen Dixon (photo de gauche), a annoncé le 2 septembre 2021 avoir infligé une amende de 225 millions d’euros à la société WhatsApp pour ne pas avoir respecté le règlement européen sur la protection des données personnelles (RGPD) – un record après la condamnation d’Amazon au Luxembourg à payer une sanction pécuniaire de 746 millions d’euros pour avoir aussi enfreint ce même RGPD.

Amende administrative insuffisante
WhatsApp devrait faire appel de cette décision. La filiale de Facebook, dont le siège européen est basé à Dublin (capitale de l’Irlande), a non seulement écopé d’une amende salée mais aussi reçu une « réprimande » – autrement dit un blâme – et une injonction de se mettre en conformité avec le RGPD (1), lequel est en vigueur depuis le 25 mai 2018. C’est d’ailleurs moins de six mois après cette date d’application que la « Cnil » irlandaise avait débuté son enquête (à partir du 10 décembre 2018) sur les pratiques de WhatsApp en termes de transparence des informations devant être fournies aux utilisateurs de cette messagerie instantanée comme aux non-utilisateurs du service.
« Cela comprend les informations fournies aux personnes concernées sur le traitement des données entre WhatsApp et d’autres entreprises Facebook [le réseau social Facebook, la plateforme de partage de photos et de vidéo Instagram, ou encore la messagerie Messenger, ndlr] », a précisé la DPC qui, conformément à l’article 60 du RGPD, s’est constituée en « chef de file » des autres autorités de contrôle (visà- vis donc des autres « Cnil » dans l’Union européenne) afin de « s’effor[cer] de parvenir à un consensus » entre elles. Après des mois d’enquête, la DPC avait soumis un projet de décision en décembre 2020 à toutes ses homologues européennes. Mais faut de consensus sur les objections de huit « Cnil » sur les vingt-sept, l’autorité irlandaise a déclenché le processus de règlement de différends le 3 juin dernier. Ce mécanisme de contrôle de la cohérence peu aboutir à ce que le Comité européen de la protection des données (CEPD) – ou European Data Protection Board (EDPB) – adopte une décision contraignante, comme ce fut le cas dans l’affaire « WhatsApp ». En effet, le 28 juillet 2021, cet organe européen indépendant présidé par Andrea Jelinek (photo de droite) – successeur du groupe de travail dit « Article 29 » sur la protection des données – a rendu sa décision. Notifiée à la « Cnil » irlandaise, celle-ci a été obligée « à réévaluer et à augmenter l’amende proposée sur la base d’un certain nombre de facteurs » détaillés dans la décision contraignante. C’est ainsi que la société WhatsApp Ireland Limited s’est vu imposer une amende de 225 millions d’euros. « Le CEPD charge la DPC de fixer un montant d’amende plus élevé pour les infractions constatées, par rapport à l’amende administrative envisagée dans le projet de décision, tout en restant conforme aux critères d’efficacité, la proportionnalité et la dissuasion », a notamment exigé le comité européen. Dans son projet de sanction établi en 2020, la « Cnil » irlandaise avait calculé son amende sur la base du chiffre d’affaires combiné du groupe Facebook (Inc.) et de sa filiale WhatsApp en Irlande pour l’année se terminant le 31 décembre 2019. Elle a cependant dû revoir à la hausse le montant, étant donné que sa décision finale allait intervenir cette année, donc devant se référer au chiffre d’affaires au 31 décembre 2020 – et en tenant compte de la hausse de 15 % environ de ces revenus annuels.
Quels sont les griefs faits à WhatsApp ? Plusieurs violations du RGPD ont été constatées non seulement pas la « Cnil » irlandaise mais aussi par ses homologues européennes qui ont obtenu auprès du CEPD un durcissement de la décision finale de la DPC sur certains points :
• Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (article 13) : le CEPD charge la DPC de « constater dans sa décision finale qu’il y a eu infraction à [fournir les informations sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ndlr (2)] » sur la base des insuffisances qu’elle a identifiées.

Anonymisation des données personnelles
En outre, le CEPD exige que la DPC inclue dans sa décision finale une constatation de violation – « au lieu de formuler une simple recommandation » – de l’obligation pour WhatsApp de fournir aux personnes concernées les informations complémentaires, notamment « sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » (3) .
• Risques pour les libertés et droits fondamentaux des personnes concernées (article 4) : le CEPD conclut que le « tableau des hachures avec perte » (dans le cadre de la procédure dite de Lossy Hashing censée anonymiser les données personnelles), ainsi que les numéros de téléphone des utilisateurs associés en tant que liste de non-utilisateurs, constituent des données personnelles, et demande à la DPC de modifier son projet de décision en conséquence pour éviter un risques pour les libertés et droits fondamentaux des personnes concernées (4).

Objections et griefs des autres « Cnil »
De plus, le CEPD exige de la DPC qu’elle modifie son projet de décision « de manière à ce que le délai de six mois pour la conformité soit réduit à une période de trois mois » – à savoir a priori jusqu’au 2 décembre 2021 par rapport au 2 septembre de la décision finale.
• Principes relatifs au traitement des données à caractère personnel (article 5) : Compte tenu de la gravité, de la nature générale et de l’impact des infractions, la DPC est tenue d’inclure dans sa décision finale une constatation de violation du principe de transparence (5) selon lequel « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
• Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (article 14) : La DPC est tenue, là aussi, de modifier son projet de décision pour tenir compte du fait que la violation de l’obligation d’informations à fournir sur le traitement des données des non-utilisateurs sous la forme de listes de non-utilisateurs après la procédure d’anonymisation des données personnelles (Lossy Hashing).
• Concernant l’amende administrative : le CEPD charge la DPC de modifier son projet de décision afin de tenir compte du chiffre d’affaires total de toutes les sociétés composant l’entreprise unique Facebook (WhatsApp, Instagram inclus) pour calculer le montant de l’amende elle-même, et considérer la date de la décision finale (2021) à partir de laquelle les revenus de l’exercice précédent (2020) devrait être considéré.
• Concernant l’amende administrative (article 83) : la DPC a été contrainte d’amender son projet de décision afin de prendre également en compte les autres infractions – en plus de l’infraction la plus grave – dans le calcul de l’amende (6), sous réserve des critères d’efficacité, de proportionnalité et de dissuasion (7). Compte tenu du chiffre d’affaires annuel global de Facebook, ainsi que des infractions constatées et des facteurs aggravants correctement identifiés par la DPC, le CEPD a estimé que l’amende administrative initiale envisagée par la « Cnil » irlandaise – à savoir entre 30 et 50 millions d’euros – n’était pas suffisante et lui a demandé de la réévaluer. Pour autant, bien que les 225 millions d’euros représentent plus de quatre fois l’amende initialement envisagée par l’Irlande et qu’elle soit la deuxième plus élevée dans les sanctions pécuniaires sur les données personnelles en Europe, la somme à payer par Facebook ne représente que… 0,08 % de son chiffre d’affaires concerné. Mais pour la firme de Mark Zuckerberg, qui avait tenté en vain de bloquer l’enquête de la « Cnil » irlandaise devant la Haute cour de justice du pays, la sanction est jugée disproportionnée. « Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Cela montre à quel point la DPC est encore extrêmement dysfonctionnelle », a taclé le 2 septembre l’Autrichien Max Schrems (photo ci-dessous), président de l’organisation à but non lucratif Noyb dont il est le fondateur (8).
Cette décision contraignante (9) adoptée par le CEPD dans la torpeur de l’été (le 28 juillet 2021 donc) a non seulement été adressée à la « Cnil » irlandaise mais aussi à ses homologues de l’Union européenne. La DPC a ainsi durci et annoncé sa décision finale rectifiée début septembre (10). La DPC avait un délai d’un mois à compter de la réception de la décision contraignante pour transmettre sa décision finale corrigée à la présidente du CEPD, actuellement Andrea Jelinek. La décision contraignante et la décision finale (11) qui en découle ont été rendues publiques (12).
Ce verdict à l’encontre de Facebook-WhatsApp fera date, en Europe mais aussi dans le monde. Cela restera un cas d’école pour tous les praticiens et les garants de la vie privée. Bien d’autre plaintes sont déjà sur le bureau de la DPC. Mais Facebook n’est pas au bout de ses peines, notamment depuis que WhatsApp a annoncé en début d’année à ses 2milliards d’utilisateurs de nouvelles conditions d’utilisation permettant – depuis mi-mai (13) – des transferts de données personnelles vers le réseau social.

Les « amis » consommateurs se rebiffent
C’est sur ces nouvelles règles controversées de WhatsApp que le Bureau européen des unions de consommateurs (Beuc) et huit de ses membres – dont l’association UFC-Que Choisir en France – ont déposé plainte contre la filiale de Facebook le 12 juillet dernier auprès de la Commission européenne et du CPC, réseau européen des autorités de consommateurs (14). Le Beuc accuse le numéro un mondial des réseaux sociaux de « violations multiples des droits des consommateurs de l’UE » et de « pressions indues sur ses utilisateurs pour qu’ils acceptent ses nouvelles conditions d’utilisation et sa politique de confidentialité » (15), alors qu’elles ne sont ni transparentes ni compréhensibles pour les internautes. @

Charles de Laubier

Données personnelles : après avoir fait plier Facebook, Max Schrems s’attaque à Appleet bientôt à Google

Publié le par

L’organisation Noyb, cofondée par l’Autrichien Max Schrems (33 ans) qui a tenu tête à Facebook en 2015 et en 2020, a déposé plainte le 16 novembre contre Apple et son « cookie » IDFA, auprès des « Cnil » allemande et espagnole – en attendant d’autres autorités dont la France. Prochaine cible : Google.

Il est libre Max… « Il met de la magie, mine de rien, dans tout ce qu’il fait. Il a l’sourire facile, même pour les imbéciles. Il s’amuse bien, il [ne] tombe jamais dans les pièges. Il s’laisse pas étourdir par les néons des manèges. Il vit sa vie sans s’occuper des grimaces. Que font autour de lui les poissons dans la nasse. Il est libre Max, il est libre Max… », chantait Hervé Cristiani dans les années 1980 (1). Libre, c’est le cas de Max Schrems (photo) né durant cette décennie-là, en octobre 1987. Cet Autrichien a maintenant 33 ans et il est depuis deux ans et demi président d’honneur de Noyb.

Vers une affaire « Schrems 3 » avec Apple
L’organisation non gouvernementale Noyb – pour « None of Your Business » (« Ma vie privée n’est pas votre affaire ») – est née le jour même que l’entrée en vigueur en Europe du Règlement général sur la protection des données (RGPD), à savoir le 25 mai 2018. L’action de cette ONG professionnelle pour le respect à la vie privée (numérique) se veut similaire aux organisations de défense des droits des consommateurs et a vocation à engager des poursuites contre des sociétés – GAFA en tête – au nom de leurs utilisateurs. Noyb s’appuie sur les succès de son cofondateur Max Schrems, qui se présente comme « avocat et militant pour la vie privée », épaulé au sein du conseil d’administration par Christof Tschohl, avocat et spécialiste de la protection de la vie privée, et de Petra Leupold, avocate et spécialiste des droits des consommateurs.
Avant de créer Noyb, Maximilian Schrems (2) s’est fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats- Unis. Ce qui a amené la Cour de Justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’est l’affaire dite « Schrems 1 » (3) qui a propulsé Max Schrems au-devant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (4), il a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (5), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD). Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (6). C’est l’affaire dite « Schrems 2 » (7) qui a renforcé la légitimité de Max Schrems (8) face à la firme de Mark Zuckerberg.
La plainte déposée le 16 novembre dernier à l’encontre d’Apple – à la fois devant la « Cnil » allemande, le BfDI (9), et devant la « Cnil » espagnole, la AEPD (10) –, s’inscrit dans le prolongement des deux actions précédentes et pourraient bien constituer l’affaire « Schrems 3 ». Contacté par Edition Multimédi@, un autre avocat de Noyb, Stefano Rossetti, spécialisé lui aussi dans la protection de la vie privée, nous indique que la même plainte contre la firme de Cupertino pourrait être déposée auprès d’autres autorités de protection des données personnelles dont la Cnil en France : « Oui, nous considérons la France comme une option ».
Et une porte-parole de l’organisation, Phoebe Baumann, nous a expliqué : « Nous avons décidé d’aller d’abord en Allemagne et en Espagne, car nous y avions des personnes concernées et un cadre juridique établi, y compris une jurisprudence qui appuyait notre point de vue ». Après ces cookies-maison d’Apple, le système similaire chez Google sur terminaux Android sera à son tour contesté, comme Noyb nous l’a confirmé : « Nous étudions également Android et Google. En fin de compte, nous voulons voir ces traqueurs hors de nos téléphones. ».

Absence de consentement préalable
Dans cette affaire « Schrems 3 », il ne s’agit pas cette fois de transfert de données personnelles de l’Europe vers les Etats-Unis, mais de traçage des utilisateurs sur leurs smartphones et tablettes – en l’occurrence les iPhone voire les iPad d’Apple. La firme de Cupertino utilise un cookiemaison appelé IDFA, pour « Identifier for Advertisers ». Autrement dit, il s’agit d’un code de suivi unique généré par défaut – et donc sans le consentement préalable du mobinaute – par le système d’exploitation iOS des smartphones et des tablettes de la marque à la pomme. Chaque utilisateur ne peut qu’accepter la licence logiciel (Apple iOS and iPad OS Software License Agreement) s’il veut utiliser son iPhone et/ou son iPad. Or, sans qu’il le sache ni y consente, l’utilisateur des terminaux à la pomme se retrouve pisté à son insu par IDFA, « cette chaîne unique de chiffres et de caractères » qui permet à Apple et à d’autres tiers – comme les annonceurs publicitaires – d’identifier les utilisateurs à travers les applications et même de relier les comportements en ligne (cross device tracking).

La directive « ePrivacy » à la rescousse
Grâce à l’IDFA, Apple et des entreprises tierces partenaires telles que les éditeurs d’applications et les annonceurs peuvent « suivre le comportement des utilisateurs, élaborer des préférences de consommation et fournir des publicités personnalisées ». C’est là que le bât blesse : ce code de traçage suppose le consentement préalable des utilisateurs, conformément à la législation européenne : non seulement le RGPD mais aussi, et surtout, la directive dite « ePrivacy » de 2002 sur le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (11). Apple enfreint l’article 5 (paragraphe 3) de cette directive qui impose aux Etats membres de « veille[r] à ce que le stockage des informations ou l’accès aux informations déjà stockées dans ces dispositifs ne soient autorisés qu’avec le consentement préalable de l’utilisateur ». en n’obtenant pas le consentement éclairé et sans ambiguïté de ses utilisateurs pour pouvoir déposer son logiciel espion, Apple viole cette loi européenne sur les cookies. Dans ses deux plaintes quasi identiques déposé en Allemagne et en Espagne, l’organisation Noyb précise qu’« étant donné que l’IDFA est stocké et récupéré sans équivoque à partir du dispositif utilisateur, l’article 5 (3) de la directive “ePrivacy”, en tant que lex specialis, s’applique au lieu de la disposition plus générale de l’article 6 du RGPD (Apple ne peut donc prétendre à aucun intérêt légitime pour son traitement) ». Juridiquement, Noyb souligne que la directive sur la protection des données électroniques prévaut sur le RGPD (12).
La firme de Cupertino joue en outre un double-jeu, comme le souligne Stefano Rossetti : « Alors qu’Apple a introduit des fonctions dans son navigateur pour bloquer les cookies, elle place des codes similaires dans ses téléphones, sans aucun consentement de l’utilisateur. Il s’agit là d’une violation flagrante de la législation européenne sur la protection de la vie privée ». Contrairement à la plainte déposée en Espagne par l’Espagne contre Apple, celle d’Allemagne l’a été notamment par un Berlinois de 45 ans, qui a échangé plusieurs messages avec le fabricant d’iPhone au cours du mois de février dernier. Dans une première réponse, l’équipe de protection des renseignements personnels d’Apple n’a pas répondu à la demande du plaignant qui demandait pourquoi l’IDFA avait été activé sur son terminaux et « pour essayer de comprendre pourquoi il n’était pas désactivé par défaut » (ou « comment le suivi des publicités n’est pas limité par défaut »), tout en exprimant auprès de l’équipe « des doutes sur la légalité de ce traitement » et sur le risque pour ses données personnelles. Le 20 février 2020, le quadragénaire obtient d’Apple une tentative de clarification : « L’identi-ficateur publicitaire dont nous avons parlé précédemment n’est pas associé à votre identifiant Apple [Apple ID, ndlr]. Il est généré aléatoirement sur votre appareil. Les renseignements recueillis en association avec un identificateur de publicité ne sont pas personnellement identifiables et, par conséquent, le consentement ne découle pas du RGPD ». Ce à quoi le plaignant a répondu : « Je crois que ce n’est pas vrai. Par exemple, ma page “off-Facebook” montre plusieurs applications qui partageaient ces informations [l’IDFA, par ex.] avec Facebook, et cela est lié à mes informations privées. Je crois que cet identifiant pseudo-anonyme est des données privées en vertu du RGPD précisément parce qu’il peut être lié à moi personnellement ». Le 21 février, Apple s’est contenté de répondre, en bottant en touche : « Nous ne sommes pas en mesure de formuler des commentaires sur la façon dont un tiers peut traiter de telles questions ». L’entreprise à la pomme n’a ensuite plus jamais répondu au Berlinois qui souhaitait approfondir sur ce différend touchant à sa vie privée. Gageons que la firme de Cupertino sera plus claire dans ses réponses aux autorités européennes de protection des données.

Restriction aux tiers en 2021, pas pour Apple
En septembre dernier, Apple avait annoncé une « amélioration » de l’IDFA dans le sens d’une « restriction d’accès » par les développeurs et les annonceurs. Mais cette nouvelle disposition – via la fonction App Tracking Transparency (ATT) – ne sera en place qu’en 2021 avec l’iOS version 14, qui devrait donner aux utilisateurs le choix de permettre ou non aux applications – dont Facebook qui se brouille à ce sujet avec la pomme – de les suivre à des fins publicitaires et de transmettre leurs données personnelles à des tiers. « Ces changements semblent restreindre l’utilisation de l’IDFA pour les tiers (…). Toutefois, le stockage initial de l’IDFA et l’utilisation qu’en fera Apple se feront toujours sans le consentement des utilisateurs et donc en violation du droit communautaire », déplore encore Noyb. @

Charles de Laubier