Archives par mot-clé : Données personnelles

Rémunérer les internautes – pour l’utilisation de leurs données personnelles – fait son chemin

Publié le par

Si c’est gratuit, c’est vous le produit ! Mais les internautes ne sont plus dupes : leurs données personnelles sont « l’or noir du XXIe siècle » et ils comptent bien se faire rémunérer pour leur exploitation ou pour visualiser de la publicité. Les start-up de la monétisation des données se multiplient.

La start-up française Tadata va avoir deux ans en fin d’année. Cet été, la Cnil (1) a clôturé l’enquête qu’elle avait lancée au printemps à son encontre après avoir été « alertée » par l’Internet Society France (Isoc France) en février dernier. Cette association qui représente les internautes dans les instances de la gouvernance de l’Internet en France et dans le monde, a décrété un postulat : les données personnelles procèdent d’un droit fondamental et, à ce titre, elles ne peuvent être vendues ou faire l’objet d’une monétisation.

Cnil pour, gouvernement et CNNum contre
L’Isoc France, présidée par Nicolas Chagny depuis cinq ans, a reproché à la jeune pousse parisienne, fondée fin 2018 par Alexandre Vanadia et Laurent Pomies, de justement proposer à un public de jeunes internautes de gagner de l’argent contre le partage de leurs données personnelles. Et l’association de « regretter l’approche simpliste et opaque du gain d’argent facile et rapide (…) ciblant un public vulnérable ». Tadata se présente comme « la première plateforme de monétisation des données personnelles ». Le sang de l’Isoc France n’avait fait qu’un tour, tout en affirmant constater « des non-conformités » au regard notamment du règlement européen sur la protection des données personnelles (RGPD), avait donc « alerté immédiatement la Cnil selon un principe de précaution, avant la montée en puissance d’un tel service » (2). Mais après quelques mois d’investigation, la Cnil a informé en juillet dernier la société qu’elle avait finalement classé sans suite cette affaire, en clôturant la procédure sans aucune sanction (3), la société s’étant mise en conformité avec le RGPD entre autres aspects juridiques. « La Cnil nous a même invité à participer à des échanges et débats sur la thématique de la monétisation des données personnelles avec ses équipes », indique Christel Monge (photo de gauche), présidente de Tadata, à Edition Multimédi@. Le gendarme des données valide donc un nouveau modèle économique des données, là où le gouvernement est plutôt contre la vente des données personnelles. En mars 2018, à la suite d’un rapport « Mes data sont à moi » du think tank libéral Génération Libre prônant la « patrimonialité des données numériques » et leur rémunération (4), Mounir Mahjoubi, alors secrétaire d’Etat au Numérique, avait déclaré lors d’un débat du Syntec Informatique : « Je suis contre toute propriété et vente des données personnelles ». Quant au Conseil national du numérique (CNNum), dans un rapport de 2017, il avait déjà jugé ce « système patrimonial pour les données à caractère personnel » comme « une proposition dangereuse » (5). Avec ce feu vert explicite de la Cnil, la plateforme Tadata met désormais les bouchées double : elle propose donc aux 15- 25 ans de lui faire part d’informations personnelles de leur choix : centres d’intérêt, habitudes de consommation, besoins actuels, … L’internaute est invité à remplir des formulaires. Ensuite, les annonceurs auxquels sont transmis ces données pourront retenir des profils pour utiliser leurs données, contre de l’argent. L’internaute consentant accepte ainsi de « céder l’exploitation » de ses données personnelles « pour une durée de deux ans, dans le cadre d’une licence d’utilisation concédée aux annonceurs ». L’utilisateur a le choix entre être payé par virement sur un compte bancaire (Iban à renseigner à l’inscription), soit par carte cadeau où seront crédités chaque mois les gains obtenus. Tadata a passé un partenariat avec la société Wedoogift, qui permet aux bénéficiaires de dépenser leurs « cartes cadeaux » – valables chacun un an – dans plus de 500 enseignes physiques, dont des cinémas, et plus de 150 sites Internet. Tadata se positionne implicitement comme un anti- GAFAM qui s’arrogent des droits d’exploitation massive de données en échange de la gratuité de leurs services souvent incontournables et en position dominante. « Tous les jours, les acteurs d’Internet utilisent tes données personnelles à ton insu et se font de l’argent sur ton dos ! Avec Tadata, dis “Stop” : reprends le contrôle de tes données perso et gagne de l’argent avec ! », lance la plateforme de monétisation.

Start-up Tadata, My Data, Polymate, …
En contrepartie de son autorisation, le jeune internaute perçoit une quote-part de la redevance perçue par Tadata en vertu des licences d’utilisation conclues auprès de clients (dont les annonceurs), quote-part qui sera comprise « entre 3 et 5 euros » à chaque licence concédée pour l’utilisation par le client d’une base de données contenant des données à caractère personnel (DCP) du jeune concerné. Tadata n’est pas la seule jeune pousse, loin de là, à vouloir monétiser les données personnelles. Toujours en France, à La Rochelle cette fois, My Data – alias « My Data is Rich » (MDiR) – propose de « transformer vos données en royalties » en se présentant comme un tiers de confiance « pour la collecte, la gestion, la protection et la valorisation de données personnelles », indépendant des GAFAM, qui fait le lien entre les « auteurs de données » (essentiellement les particuliers) et les « consommateurs de données personnelles », à savoir les entreprises et tout organisme. MDiR, qui compte « plusieurs milliers de personnes », redistribue à ces « contributeurs » 50 % des gains engendrés par la valorisation de leurs données. « Nous ne sommes pas vendeur de données mais tiers de confiance. Les données sont pseudonymisées et ne sont identifiées auprès d’une entreprise tierce qu’après un droit d’usage accordé par la personne concernée », explique son président Eric Zeyl à Edition Multimédi@. Il l’assure : cette approche permet à chacun d’être « enfin un acteur éclairé et consentant de l’utilisation de ses données », tandis que les entreprises disposent ainsi de solutions « RGPD by design » pour développer des parcours clients ou prospects « data responsables ». La jeune pousse rocheloise a annoncé miseptembre son rapprochement avec le groupe Doxsa (6).

Brave rémunère en cryptomonnaie
Autre start-up française du « données contre royalties » : Polymate, basée à Bailly Romainvilliers (en région parisienne) et présidée par Armel Satchivi (photo de droite), qui revendique être le « premier réseau social géolocalisé qui rémunère ses utilisateurs ». Alors que YouTube (Google) ou, plus récemment, TikTok (ByteDance) sont des mégaplateformes qui rémunèrent leurs créateurs et influenceurs en fonction d’un grand nombre d’abonnés à « leur chaîne » ou de volume d’heures diffusées sur le réseau social, Polymate monnaye la data géolocalisée de ses utilisateurs devenus d’office « influenceurs ». « Un tag est une vidéo, une image ou un texte, qui a pour particularité d’être géolocalisé et de n’être visible que dans un rayon de 100 mètres autour de son emplacement. Seuls les autres “Polymaters” situés à proximité pourront ainsi voir, commenter et partager les tags, et contacter leurs auteurs », explique Armel Satchivi à Edition Multimédi@. Seuls les autres Polymaters situés à proximité pourront ainsi voir, commenter et partager les tags, et contacter leurs auteurs. Du côté des navigateurs web cette fois, Brave permet aux utilisateurs de récupérer les tokens – des jetons – générés en l’utilisant et d’obtenir ainsi une rémunération pour les publicités dont ils autorisent l’affichage. La start-up Brave Software a été créée il y a cinq ans maintenant par Brendan Eich, qui fut cofondateur de Mozilla (Firefox) et créateur du JavaScript. Aujourd’hui, le navigateur Brave revendique près de 20 millions de « braves » par mois dans le monde (19 millions en octobre précisément, contre 12 millions en mai dernier). « Votre attention est précieuse. Gagnez de l’argent en visualisant des publicités qui respectent la vie privée, puis donnez à votre tour pour soutenir les créateurs de contenu que vous aimez », explique l’éditeur de ce navigateur open source construit à partir de Chromium de Google. Fini les publicités envahissantes en naviguant sur le Web et fini la vente des données confidentielles à des annonceurs, la plupart du temps sans le consentement explicite de l’internaute. « Avec votre ancien navigateur, vous payiez pour naviguer sur le Web de la manière suivante : votre attention était utilisée pour visualiser des publicités », rappelle la start-up californienne (basée à San Francisco). Avec le système «Brave Rewards », l’attention de l’internaute – « le temps de cerveau disponible », diraient certains – est valorisée sous la forme de jetons baptisés « Basic Attention Token » (BAT), « une nouvelle façon de valoriser l’attention en unissant les utilisateurs, les créateurs de contenu et les annonceurs ». Les jetons BAT constituent une cryptomonnaie qui s’appuie sur une plateforme décentralisée publicitaire – Ad Exchange – basée, elle, sur la blockchain open source Ethereum. Une fois inscrit, le navigateur commence à comptabilité « la quantité d’attention » accordée par l’internaute aux sites web qu’il visite. Explication du mode de fonctionnement : « Vous pouvez supprimer les sites (web) que vous ne souhaitez pas soutenir et offrir des pourboires directement à des créateurs. Toutes ces opérations sont anonymes : personne (pas même l’équipe de Brave) ne peut voir qui soutient quel site (web) », assure la plateforme.
En octobre, Brave Software a indiqué avoir reversé à ce jour quelque 12 millions de dollars à des créateurs de contenus (7) et compte plus d’un demi-million de sites web référents certifiés. Et de préciser : « Des publicités privées sont activées par défaut dans Brave Rewards, et cela vous permet de gagner des jetons BAT à chaque fois que vous visualisez une publicité. (…) Vous pouvez contrôler le nombre de publicités privées que vous souhaitez voir et gagner 70 % du revenu de la publicité que nous recevons de nos annonceurs ». C’est un peu comme accumuler des miles aériens, mais au lieu de voler l’utilisateur navigue ! « En échange de votre attention, vous accumulez des jetons pendant votre navigation. (…) Vous pouvez choisir de visualiser des publicités privées une à cinq fois par heure. Vous pouvez bien sûr aussi désactiver les publicités privées à tout moment ».

La Californie prône la « Data Dividend Tax »
En février 2019, le gouverneur de Californie, Gavin Newsom, a proposé « un “dividende de données” pour partager la richesse générée par les données personnelles avec les utilisateurs qui y ont contribué » (8). Ce projet prône une taxe numérique baptisée Data Dividend Tax (DDT), dont le modèle est présenté dans un rapport écrit par un groupe de travail indépendant. Ce document de 42 pages a été mis à jour le 6 Août dernier (9). Le fait que cet appel soit lancé par l’Etat américain des GAFAM et des Big Tech de la Silicon Valley donne une portée particulière à cette initiative. @

Charles de Laubier

Anonymisation des données personnelles : un enjeu de taille, notamment en matière de santé

Publié le par

Alors qu’une deuxième vague de coronavirus menace, le gouvernement croit en l’utilité des données « pseudonymisées » de son application mobile StopCovid malgré le peu d’utilisateurs. Mais le respect de la vie privée ne suppose-t-il pas une « anonymisation » ? Le dilemme se pose dans la santé.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

La crise sanitaire liée au covid-19 et le développement concomitant des outils de surveillance de l’évolution de l’épidémie ont mis en lumière les enjeux liés à l’anonymisation des données à caractère personnel et, en particulier, des données de santé. Souvent présenté par la Commission nationale de l’informatique et des libertés (Cnil) comme un moyen indispensable pour préserver la vie privée des personnes, le procédé d’anonymisation aboutit cependant nécessairement à une perte d’informations, parfois contestée par les professionnels de santé.

Pseudonymisation ou anonymisation ?
Les recommandations publiées le 19 mai dernier par la Cnil (1) à ce sujet et les débats entourant l’application mobile StopCovid – mise à disposition par le gouvernement dans le cadre de sa stratégie globale de « déconfinement progressif » – permettent de mieux appréhender ces problématiques. Si cette application mobile ne dispose d’aucune information directement identifiante comme le nom ou le prénom, elle n’est pas pour autant « anonyme » au sens de la règlementation relative à la protection des données (2). La confusion entre « données pseudonymes » et « données anonymes » demeure répandue, alors que le règlement général européen sur la protection des données (RGPD) – en vigueur depuis le 25 mai 2018 – a entériné la distinction entre ces deux notions en son considérant 26.
Comme le rappelle la Cnil, la pseudonymisation consiste à traiter les données personnelles de façon à ce que celles-ci ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations complémentaires. De manière plus concrète, ce processus consiste par exemple à remplacer des données personnelles directement identifiantes telles que le nom ou le prénom par des données indirectement identifiantes te l les qu’un alias, un numéro ou un code. La pseudonymisation constitue ainsi un outil utile pour conserver des données tout en préservant la vie privée des personnes, puisque celles-ci ne sont plus directement identifiantes. Néanmoins, l’opération de pseudonymisation étant réversible, il est possible de réidentifier ou identifier indirectement les personnes sur la base de ces données. En conséquence, les « données pseudonymes » demeurent des « données personnelles » auxquelles s’applique l’ensemble des exigences de la règlementation sur la protection des données personnelles. Au contraire, les « données anonymisées » au sens du RGPD exclut toute possibilité de réidentification des personnes. Il s’agit d’appliquer un procédé aux données personnelles pour rendre toute individualisation et toute indentification, directe ou indirecte, impossible et ce de manière irréversible et définitive. Cette distinction constitue un enjeu central, puisque les « données anonymes » ou « rendues anonymes », lesquelles, contrairement aux « données pseudonymes », ne sont pas ou plus des « données personnelles », ne sont pas soumises aux exigences du RGPD. Ce règlement européen indique, en effet, expressément qu’il ne s’applique « pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche » (3). A cet égard, il faut veiller à distinguer que, lorsqu’un procédé d’anonymisation est appliqué, c’est bien uniquement le résultat obtenu – les « données anonymisées » – qui peut être exclu du champ d’application matériel du RGPD mais non les données à caractère initialement collectées. De même, le processus d’anonymisation constitue un « traitement » qui, effectué sur des données personnelles, n’échappe pas en tant que tel aux exigences de la règlementation sur la protection des données à caractère personnel. Quelles sont au juste les techniques d’anonymisation ?

Randomisation et généralisation
Dans un avis en date du 10 avril 2014, le groupe dit de l’Article 29 – ce « G29 » ayant été remplacé depuis l’entrée en application du RGPD par le Comité européen de la protection des données (4) – proposait trois critères pour s’assurer que des données personnelles faisaient bien l’objet d’un procédé d’anonymisation et non de pseudonymisation : l’individualisation (il doit être impossible d’isoler un individu dans l’ensemble de données), la corrélation (il ne doit pas être possible de relier deux ensembles distincts de données concernant un même individu) et l’inférence (il doit être impossible de déduire une information sur un individu). Pour éliminer toute possibilité d’identification, la Cnil rappelle que deux grandes techniques d’anonymisation sont possibles. La « randomisation » qui consiste à rendre moins précises les données, par exemple en permutant certaines informations dans l’ensemble de données tout en conservant la répartition globale. La seconde technique dite de « généralisation » consiste quant à elle à modifier l’échelle ou l’ordre de grandeur des données (par exemple en ne conservant que l’année de naissance au lieu de la date précise) afin d’éviter l’individualisation ou la corrélation avec d’autres ensembles de données. Ces méthodes d’anonymisation doivent cependant être réévaluées régulièrement car les techniques et possibilités de ré identification évoluent rapidement, à mesure des avancées technologiques.

Impacts sur la vie privée
A cet égard, dans son avis « Techniques d’anonymisation » (5), le G29 indiquait déjà que « le résultat de l’anonymisation, en tant que technique appliquée aux données à caractère personnel, devrait être, dans l’état actuel de la technologie aussi permanent qu’un effacement, c’est-à-dire qu’il devrait rendre impossible tout traitement de données à caractère personnel ». En effet, des données publiées comme « anonymes » à un instant T peuvent, grâce par exemple à une nouvelle technique développée par un tiers, redevenir indirectement identifiantes. Leur publication à titre de « données anonymes », sans veiller au respect du RGPD, pourrait ainsi constituer une violation de données. Si ces procédés d’anonymisation permettent de conserver et de réutiliser des données pour des durées étendues tout en assurant le respect des droits et libertés des personnelles, reste la question de l’utilité de données anonymes, notamment dans le secteur de la recherche scientifique et médicale. Comme le démontrent les débats entourant les traitements de données personnelles mis en œuvre par le biais de l’application mobile StopCovid, l’intérêt scientifique des données anonymes – qui ont perdu tout caractère individualisant – est plus limité.
Depuis toujours la problématique d’anonymisation est très présente dans le secteur de la santé. En effet, les données relatives à la santé des personnes constituent à la fois des données personnelles particulièrement risquées en termes d’impacts sur la vie privée, mais elles constituent également un enjeu important dans le cadre de la recherche scientifique et médicale. Par exemple, dès 2004, la Cnil s’était prononcée sur la volonté de la Fédération nationale de la mutualité française (FNMF) – regroupant 540 mutuelles adhérentes dont 266 mutuelles santé – d’avoir accès sous un format anonymisé à des données figurant sur des feuilles de soins électroniques. Ce traitement devait être mis en œuvre à des fins statistiques pour étudier l’impact d’un remboursement en fonction du service médical rendu pour les médicaments. La Cnil avait autorisé le traitement en donnant des précisions et recommandations strictes sur les modalités d’anonymisation des données, les mesures de sécurité et le respect des droits des personnes concernées (6).
Dans cette lignée, fin avril 2020, la Cnil s’est prononcée favorablement à l’application mobile StopCovid déployée par le gouvernement dans le cadre de sa stratégie de déconfinement progressif – sous réserve que les données personnelles collectées soient traitées sous un format pseudonymisé, puis supprimées de 15 jours ou 6 mois selon les catégories. « La [Cnil] prend acte de ce que l’article 4 du projet de décret [décret du 29 mai 2020 publié au J.O. du 30 mai dernier (7), ndlr] prévoit une conservation des clés et des identifiants associés aux applications pendant la durée de fonctionnement de l’application StopCovid et au plus tard six mois à compter de la fin de l’état d’urgence sanitaire, et une conservation des historiques de proximité des personnes diagnostiquées ou testées positives pendant quinze jours à compter de leur émission » (8).
Cependant, le 21 juin dernier, le Conseil scientifique covid- 19 a publié un avis afin d’indiquer qu’il considérait essentiel d’appliquer l’option prévue par l’article 2 du projet de loi organisant la sortie de l’état d’urgence sanitaire permettant de conserver les données personnelles collectées par StopCovid pour une durée plus longue. Ce conseil scientifique (9) précise en outre que ces données devraient être conservées « sous une forme pseudonymisée et non simplement anonymisée, de façon à ce que les données d’un même individu, non-identifiantes, puissent tout de même être reliées entre elles (ex : documentation d’une ré-infection), ou chaînées avec des données d’autres bases » (10). Cette position illustre parfaitement les enjeux liés à l’articulation entre exploitation des données, durées de conservation et anonymisation ou pseudonymisation.

Risque de seconde vague
La position de la Cnil et l’arbitrage qui sera opéré entre respect de la vie privée et le nécessaire suivi de l’épidémie de covid-19, en particulier avec le risque d’une seconde vague, permettra d’étayer davantage les critères d’application et la distinction entre pseudonymisation et anonymisation. Au 23 juin 2020, soit en trois semaines d’existence de StopCovid, seuls quatorze cas à risque de contamination ont été détectés par l’application mobile. A cette date de premier bilan, elle a été téléchargée 1,9 million de fois, mais désinstallée 460.000 fois. Le gouvernement se dit néanmoins convaincu de son utilité, surtout en prévision de cette seconde vague. @

Aucune enquête coordonnée en Europe n’a été menée sur le scandale « Cambridge Analytica »

Publié le par

Plus de deux ans après l’éclatement de l’affaire « Cambridge Analytica » sur l’exploitation massive et illégale des données personnelles de dizaines de millions d’utilisateurs de Facebook à des fins de ciblages politico-publicitaires, aucune enquête n’a été menée en France par la Cnil. Surprenant.

Aux Etats-Unis, Facebook a écopé l’été dernier d’une amende record de 5 milliards de dollars infligée par la FTC (1) pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs. En Grande-Bretagne, la « Cnil » britannique – ICO (2) – l’a condamné en octobre 2019 au maximum que lui permettait la loi du pays pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). Ces données ont notamment été exploitées en 2016 pour influencer respectivement l’élection présidentielle américaine et le référendum britannique sur le Brexit.

La Cnil n’a pas jugé bon d’enquêter
Mais bien d’autres pays ont eux-aussi enquêté sur ce siphonnage de données personnelles opéré illégalement par la société londonienne Cambridge Analytica (devenue Emerdata) sur près de 100 millions d’utilisateurs de Facebook : 50 millions aux Etats-Unis, 87 millions si l’on y ajoute d’autres pays dans le monde. Mais connaîtra-t-on jamais l’ampleur de la manipulation à portée planétaire ? En Australie, la « Cnil » australienne – OAIC (3) – a lancé en mars dernier une action judiciaire contre Facebook pour avoir transmis Cambridge Analytica les données personnelles de 311.127 Australiens (4). Au Canada, la « Cnil » canadienne – OPC (5) – a saisi en février la justice contre Facebook accusé là aussi d’avoir transmis des données privées sans autorisation à Cambridge Analytica (6).
En Europe, en dehors de la Grande-Bretagne où Cambridge Analytica avait son siège social, l’Italie – via son gendarme de la concurrence AGCM – a rappelé à l’ordre la firme de Mark Zuckerberg accusée de continuer à collecter de façon non transparente des données personnelles en violation de ses engagements pris en novembre 2018 – assortis à l’époque de deux amendes pour un total de 10 millions d’euros (7). En Espagne, comme par ailleurs au Brésil, Facebook a dû aussi mettre la main au portefeuille à la suite du scandale « Cambridge Analytica ». Et en France ? Quatre jours après ce samedi 17 mars 2018 où l’affaire « Cambridge Analytica » a éclaté au grand jour (8), la Cnil (9) publiait un communiqué disant que « l’ICO, la Cnil du Royaume-Uni, enquêtait sur le sujet » (10). Contacté par Edition Multimédi@ pour savoir auprès de sa présidente Marie-Laure Denis (photo de gauche) si la Cnil avait mené une enquête en France pour y connaître l’impact de ce scandale retentissant, un porte-parole nous a répondu que non : « Tant au regard du nombre de ressortissants français concernés, que des cas d’usage des données en cause (Brexit et élections américaines), la France était peu concernée et la Cnil a ainsi préféré suivre le dossier dans le cadre de la coopération européenne en lien avec l’ICO plutôt que de porter sa propre procédure ». On connaît la suite : la « Cnil » britannique a donc mis à l’amende Facebook. Mais aucun rapport d’enquête n’a été fourni sur la France, où a tout de même eu lieu la campagne présidentielle de 2017 avec son lot de fake news (compte bancaire aux Bahamas d’Emmanuel Macron) et d’ingérences étrangères en ligne (présumées d’origine russes). Cambridge Analytica a-t-elle de Londres tiré les ficelles des réseaux sociaux pour orienter l’électorat français ?
Facebook a-t-il facilité l’exploitation des données de ses utilisateurs, au nombre de plus de 35 millions en France ? Faute d’en savoir plus, Edition Multimédi@ s’est tournée vers la « Cnil » irlandaise – la DPC (11) – puisque Facebook a son siège européen à Dublin, capitale d’Irlande. Mais là aussi, pas d’enquête sur le scandale « Cambridge Analytica », alors que l’on aurait pu penser que le DPC soit le « chef de file » de ses homologues européens – dont la Cnil en France – pour mener des investigations. Graham Doyle, adjoint à la DPC de la commissaire Helen Dixon (photo de droite), a justifié l’absence d’enquête de la « Cnil » irlandaise sur ce scandale : « Nous n’avons pas ouvert d’enquête sur Facebook concernant le problème de Cambridge Analytica, car il s’est produit avant l’introduction du RGPD et du mécanisme du guichet unique. La DPC irlandaise est devenue l’autorité de contrôle chef de file de Facebook avec l’introduction du RGPD le 25 mai 2018. Avant cette date, il n’y avait pas de chef de file européen ».

Pas d’« autorité chef de file » avant mai 2018
Le règlement général sur la protection des données (RGPD) prévoit en effet, dans son article 56, que la « Cnil » du pays européen où est basé le siège du responsable du traitement des données à caractère personnel (ou du sous-traitant) – en l’occurrence Facebook en Irlande – est compétente pour agir en tant qu’« autorité de contrôle chef de file » (12). « C’est l’autorité irlandaise qui est chef de file sur cette affaire », nous a répondu la Cnil. Faute d’enquête coordonnée en Europe sur le scandale « Cambridge Analytica », le numéro un mondial des réseaux sociaux s’en tire à bon compte. @

Charles de Laubier

Cambridge Analytica n’en finit pas de révéler ses secrets et Facebook d’en payer les pots cassés

Publié le par

Depuis deux ans, depuis ce lundi noir du 19 mars 2018 pour Facebook, la firme de Mark Zuckerberg – qui avait reconnu ce jour-là la collecte de plus de 50 millions d’utilisateurs du réseau social par la société Cambridge Analytica à des fins électorales aux Etats-Unis – continue d’être sanctionnée.

L’ a f faire « Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur. Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie (photo de gauche), qui se présente depuis comme le « lanceur d’alerte » de l’affaire.

5 Mds $ d’amendes, pour l’instant
Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser (photo de droite) se présente elle aussi comme « lanceuse d’alerte » de ce même scandale. Les révélations faites ce samedi-là font l’effet d’une bombe, dont l’image de Facebook et la confiance envers le numéro un mondial des réseaux sociaux portent encore les séquelles : la société londonienne, spécialisée dans la collecte et l’exploitation massive de données plus ou moins personnelles à des fins de ciblage politique (en faveur du Parti républicain américain), est accusée d’avoir siphonné les données de plus de 50 millions d’utilisateurs de Facebook à leur insu. Elles ont servi à influencer la campagne présidentielle de Donald Trump en 2016, Cambridge Analytica ayant en outre été financé par le milliardaire américain Robert Mercer via son fonds spéculatif (hedge fund) Renaissance Technologies.
The Observer a affirmé il y a deux ans que Steve Bannon, alors conseiller technique de Donald Trump (dont il a été le directeur de campagne présidentielle) jusqu’à son éviction de la Maison Blanche à l’été 2017, a été l’un des dirigeants de Cambridge Analytica et par ailleurs patron du site web ultra-conservateur proche de l’extrême droite Breitbart News. Les révélations citent les propos de Christopher Wylie, lequel a travaillé pour la société londonienne incriminée et sa maison mère SCL Group où il est identifié dès mai 2017 par The Guardian comme « directeur de recherche » (1). Il vient de publier « Mindf*ck » chez Penguin Random House (2), tandis que Brittany Kaiser, elle, l’a devancé en faisant paraître en janvier « L’affaire Cambridge Analytica » chez HarperCollins (3). C’est donc le lundi suivant ce breaking news retentissant, soit le 19 mars 2018, que la firme de Mark Zuckerberg accuse le coup en Bourse : son action a chuté lourdement de près de 7% en une séance à Wall Street, et elle a continué de plonger de 15 % au total jusqu’au pire de la sanction boursière le 6 avril 2018. C’est que les régulateurs américain FTC (4) et britannique Information Commissionner’s Office (ICO) avaient ouvert chacun une enquête dès le 20 mars 2018. On connaît la suite : Facebook a été condamné au début de l’été 2019 par la FTC au paiement d’une amende record de 5 milliards de dollars, pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs, tandis que la « Cnil » britannique (ICO) l’a condamné au maximum que lui permettait la loi britannique pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). « La société Cambridge Analytica s’est livrée à des pratiques trompeuses pour recueillir des informations personnelles auprès de dizaines de millions d’utilisateurs de Facebook à des fins de profilage et de ciblage des électeurs. Il ressort également qu’elle s’est livrée à des pratiques trompeuses dans le cadre du Privacy Shield (5) entre l’Union européenne et les Etats- Unis », a conclu la FTC à l’issue de sa vaste enquête bouclée en décembre dernier (6).
Mais la firme de « Zuck », dont finalement 87 millions de ses utilisateurs (américains mais aussi ailleurs dans le monde) ont été victimes des pratiques illégales de Cambridge Analytica, reste encore aujourd’hui enlisée dans des procès et mise à l’amende pour ce scandale planétaire à la hauteur du tentaculaire réseau social de 2,5 milliards d’utilisateurs. Dernière plainte en date : le 9 mars dernier, après deux ans d’enquête, la « Cnil » australienne – l’OAIC (7) – a lancé une action judiciaire contre Facebook pour avoir transmis Cambridge Analytica les données personnelles de 311.127 Australiens transmises (8). Un mois auparavant, le 6 février, c’était le Commissariat à la protection de la vie privée du Canada (OPC) qui a saisi la justice canadienne contre Facebook pour là aussi transmission de données privées à Cambridge Analytica (9).

Répercutions : Italie, Espagne, Brésil, …
En Italie cette fois, le gendarme de la concurrence AGCM a mis en garde la firme de Mark Zuckerberg qui, a-t-il constaté, continue à collecter de façon non transparente des données personnelles et à ne pas respecter ses engagements de novembre 2018 – assortis à l’époque de deux amendes pour un total de 10 millions d’euros (10). En Espagne et au Brésil, Facebook a dû aussi mettre la main au portefeuille, passant d’« ami » à « ennemi » des données personnelles. @

Charles de Laubier

Quid au juste du Brexit numérique et audiovisuel ?

Publié le par

En fait. Le 31 janvier, à minuit, le Royaume-Uni a quitté l’Union européenne (UE) et ne fait donc plus partie des Etats membres, lesquels sont désormais vingt-sept. Une période transitoire s’est ouverte jusqu’au 31 décembre 2020, durant laquelle le droit de l’UE continuera de s’appliquer au Royaume-Uni. Et après ?

En clair. La date historique du 31 janvier 2020 est purement symbolique car rien ne change d’ici le 31 décembre prochain. L’Union européenne et le Royaume-Uni ont encore un peu plus de dix mois pour se mettre d’accord sur un nouveau partenariat. La Commission européenne, elle, adoptera le 3 février un projet de « directives de négociation complètes ». Rien ne change donc d’ici la fin de l’année. Mais que se passera-t-il à partir du 1er janvier 2021, si la période transitoire n’est pas prolongée pour une durée maximale d’un à deux ans ?
• Données personnelles : le Royaume-Uni continuera d’appliquer les règles européennes en matière de protection des données, dont le RGPD (1) avec le consentement sur les cookies, au « stock de données à caractère personnel » collectées lorsqu’il était encore un Etat membre. Et ce, jusqu’à ce que la Commission européenne constate formellement que les conditions de protection des données au Royaume-Uni sont « essentiellement équivalentes » à celles de l’UE.
• Frais d’itinérance (roaming) : les opérateurs mobiles des Vingt-sept seront en droit de réinstaurer avec le Royaume-Uni des frais d’itinérance pour les appels téléphoniques et les
communications SMS/MMS/Internet. Ces surcoûts pour les Européens avaient été supprimés en 2017 par la Commission européenne. A moins qu’un accord entre Londres et Bruxelles ne soit trouvé pour maintenir la gratuité du roaming.
• Droit d’auteur et droit voisin : les Etats membres de l’UE ont jusqu’au 7 juin 2021 pour transposer la directive de 2019 sur le droit d’auteur et le droit voisin « dans le marché unique numérique ». Or la Grande-Bretagne a fait savoir le 21 janvier dernier, par la voix de son secrétaire d’Etat Chris Skidmore (2), qu’elle n’a pas l’intention de le faire et donc de l’appliquer (3).
• Services de médias audiovisuel (SMA) : la directive européenne SMA, actualisée en 2018 pour prendre en compte les services à la demande (SMAd) tels que Netflix, Amazon Prime Video ou encore Disney+, ne sera plus appliquée outre-Manche. Disparaîtra aussi le principe du pays d’origine, sauf accord.
• Portabilité transfrontalière des services audiovisuels : le règlement européen de 2017 sur « la portabilité transfrontalière des services de contenu en ligne », applicable depuis le 20 mars 2018, sera lui aussi inopérant pour les Européens en Grande-Bretagne, sauf accord là aussi. @