Arcep : ce sera de La Raudière, n’en déplaise à Niel

En fait. Le 5 janvier, Emmanuel Macron a déclaré qu’il « envisage de nommer » Laure de La Raudière à la présidence de l’Arcep. Pour Xavier Niel, « ce serait aberrant pour la concurrence ». Fin 2020, la députée avait évoqué devant lui « un deuxième New Deal Mobile » et l’absence de Free sur le marché des entreprises.

En clair. La députée Laure de La Raudière (1) et le milliardaire Xavier Niel ont des désaccords sur la couverture télécoms des territoires jusque dans les zones blanches non rentables, comme l’a notamment montré l’audition du second (2) par la commission des affaires économiques de l’Assemblée nationale le 17 novembre 2020. L’élue a même suggéré « un deuxième New Deal Mobile »… Sur le marché des entreprises, où Free tarde à se lancer pleinement, Xavier Niel avait fustigé « le monopole » d’Orange.
Ce fut la dernière fois qu’ils se sont parlés. Jusqu’à ce que le patron de Free lance le 4 décembre dernier sur BFM Business, à l’évocation de Laure de La Raudière (LDLR) comme future présidente de l’Arcep : « Ce serait aberrant pour la concurrence. Nommer à la tête d’une autorité indépendante quelqu’un qui a bossé 15 ans chez Orange, cela me paraît assez surprenant ». En réalité, LDLR a passé un peu plus de 10 ans chez France Télécom, pas encore rebaptisé Orange. Avant d’être élue députée de la 3e circonscription d’Eure-et-Loir en 2007 (UMP), où elle fut réélue en 2012 (UMP) puis en 2017 (LR), LDLR a été directrice départementale d’Eure et Loir de l’opérateur télécoms historique (1997-2001) après avoir été directrice « grands comptes » de l’ancien monopole d’Etat des télécoms (1994-1997). Auparavant, cette ingénieure des télécoms, diplômée en 1990 de Télécom ParisTech (3), et normalienne (4), a commencé sa carrière chez France Télécom en tant que responsable du département « clientèle d’affaires » à la direction régionale de Paris-Sud (1990-1994). LDLR a donc vécu l’avant et l’après-libéralisation des télécoms datée du 1er janvier 1998 (ouverture à la concurrence). L’ancien monopole, devenu société anonyme aux mains de l’Etat (1996) puis cotée en Bourse (1997), ne deviendra Orange qu’à partir du 1er juillet 2013. Après un intermède dans une start-up, Pertinence Data Intelligence (2001-2002), Laure de La Raudière revient à ses premiers amours : les télécoms et les réseaux, d’abord comme fondatrice-gérante de la société de conseil Madisy (2003-2006), puis comme directrice générale Navigacom (2006-2010) où elle s’était associée à une ancienne directrice « grands comptes » de France Télécom (comme elle), Catherine Lucas, fondatrice de cette société de services et d’infogérance en infrastructures, réseaux et télécoms pour les entreprises. @

Fréquences 5G : en plus des 2,7 milliards d’euros, les opérateurs verseront 1 % de leur chiffre d’affaires

Les lauréats Orange, SFR, Bouygues Telecom et Free Mobile, qui peuvent utiliser leurs fréquences 5G depuis le 18 novembre, verseront entre 2020 et 2034 une « redevance fixe » totale de plus de 2,7 milliards d’euros à l’Etat. Mais aussi « redevance variable » de 1 % de leurs revenus mobiles, dont ceux de la publicité et des contenus.

Au total, les quatre lauréats des premières fréquences 5G en France – bande des 3,4 à 3,8 Ghz dite « bande coeur », en attendant cette des 26 Ghz dite « bande pionnière » – devront verser à l’Etat une redevance fixe de précisément 2.789.096.245 euros. Celle-ci est exigible en plusieurs parts entre 2020 et 2034. Mais ce n’est pas tout : Orange, SFR, Bouygues Telecom et Free Mobile verseront en plus chaque année une redevance variable égale à 1 % du chiffre d’affaires réalisé sur ces fréquences, comme c’est le cas sur les fréquences 3G et 4G.

Taxe de 1 % des revenus 5G durant 15 ans
C’est Orange qui paiera la redevance fixe la plus élevée, à savoir 854 millions d’euros. Vient ensuite SFR (groupe Altice) avec 728 millions d’euros. Free Mobile arrive en troisième position avec 605 millions d’euros. Bouygues Telecom ferme le ban avec 602 millions d’euros à débourser. Ce qui fait, pour ces fréquences 5G, un total de redevance fixe supérieur à 2,7 milliards d’euros. Mais ce n’est pas un record en France. A titre de comparaison : les fréquences 4G dans les bandes 800 Mhz et 2.6 Ghz avaient rapporté 3,6 milliards d’euros en 2012, et les 700 Mhz avaient rapporté 2,98 milliards en 2015 (1).
L’Etat français, dont le chef actuel est Emmanuel Macron (photo), est loin d’empocher les quelque 6,5 milliards d’euros obtenus par l’Allemagne de ses enchères 5G, certes avec plus de fréquences mises en vente. L’Italie a aussi récolté la même somme record.
Pour s’acquitter de leur redevance fixe d’ici à 2034 pour leurs fréquences 5G dans la bande 3,4-3,8 Ghz, les quatre opérateurs mobiles français doivent débourser trois fois, conformément à un décret « Redevances » (2). L’autorisation d’utilisation des fréquences attribuée en 2020 porte sur l’exploitation d’un réseau mobile en France métropolitaine pendant une durée initiale de quinze ans. La redevance pour chaque opérateur mobile se décompose en deux parts fixes et une part variable.
La première part fixe correspond au montant déterminé par le résultat de la phase d’attribution des blocs de 50 Mhz dans la bande 3,5 Ghz en France métropolitaine pour établir et exploiter un système mobile terrestre. Ainsi, chacun des quatre opérateurs mobiles doit s’acquitter de la même somme, à savoir 350 millions d’euros payables « en quinze parts égales sur quinze ans ».
La deuxième part fixe correspond, elle, au montant déterminé par le résultat des enchères principales et de positionnement dans le cadre de l’attribution d’autorisations d’utilisation de fréquences. Orange devra s’acquitter de 504 millions d’euros, SFR de 378 millions d’euros, Bouygues Telecom de 252 millions d’euros et Free Mobile de 252 millions d’euros. Ces sommes-là sont exigibles « en quatre parts égales sur quatre ans ». A noter que Free Mobile est le seul à payer 3 millions d’euros supplémentaires (3 096 245 euros) à l’issue de « l’enchère de positionnement » pour permettre de positionner les fréquences de chacun des lauréats (3). Orange, SFR et Bouygues Telecom, eux, ne paient rien.
La part variable, quant à elle, est versée annuellement et correspond à une taxe de 1% du montant total du chiffre d’affaires annuel réalisé avec les fréquences 5G. Un acompte provisionnel est versé avant le 30 juin de l’année en cours – en l’occurrence d’ici le 30 juin 2021. Le décret « Redevances » précise que ce « chiffre d’affaires » sur lequel sera prélevé ce 1 % ne comprend pas les revenus de la vente de terminaux.
Cette taxe porte en revanche sur les recettes d’exploitation (hors taxes) « réalisées grâce à l’utilisation des fréquences allouées » : recettes de fourniture de service téléphonique et de transport de données aux clients directs et indirects, et celles réalisées par les entreprises dont l’opérateur détient le contrôle ou qui sont contrôlées par une société détenant également le contrôle de l’opérateur, ainsi que les recettes liées à l’interconnexion (à l’exclusion des appels issus d’un autre réseau mobile titulaire d’une autorisation en France), et celles issues des clients en itinérance sur le réseau de l’opérateur.

Pub, contenus ou services mis à contribution
Entrent enfin en ligne de compte les recettes perçues par l’opérateur sur les services ou les prestations fournis à des tiers en rapport avec les services précédents, « en particulier les prestations publicitaires, de référencement ou la perception de commissions dans le cadre du commerce électronique ». Sont aussi pris en compte les revenus tirés des mises en service et des raccordements au réseau, et ceux liés à « la vente de services (y compris la fourniture de contenus) dans le cadre d’une transaction vocale ou de données » – étant même précisé que « les reversements aux fournisseurs de services sont déduits de ces recettes ». Et même « éventuellement tout nouveau service utilisant les fréquences considérées ». @

Charles de Laubier

Les éditeurs n’ont plus que quatre mois pour adopter la nouvelle recette de la Cnil sur les cookies

La Cnil commencera fin mars 2021 à sanctionner les éditeurs de services en ligne qui ne se seront pas mis en conformité avec ses nouvelles règles les obligeant notamment à obtenir de manière plus stricte qu’avant le consentement des internautes avant de déposer des traceurs sur leurs terminaux.

Par Florence Chafiol, avocate associée, et Stéphanie Lapeyre, avocate, August Debouzy

Le cookie, ce petit fichier texte informatique déposé et lu sur le terminal d’un utilisateur, n’a vu le jour qu’en 1994. Si, au début de leur création, les cookies avaient une utilité limitée et méconnue du grand public, ils sont aujourd’hui au coeur de la stratégie numérique de la plupart des éditeurs de services en ligne et sources de nombreux débats. Victimes de leur succès, leur utilisation a rapidement été réglementée (1). En 2002, la directive européenne dite « ePrivacy » (2) est venue encadrer leur utilisation.

Base de la recette : informer les utilisateurs
Le consentement est alors devenu central : en principe pas de cookies sans accord préalable des utilisateurs. En France, la Commission nationale de l’informatique et des libertés (Cnil) a adopté sa première recommandation sur le sujet en 2013, afin de guider les éditeurs dans l’application de la loi et notamment dans les modalités d’obtention du consentement. Le Règlement général sur la protection des données (RGPD) ayant durci les conditions d’obtention d’un tel consentement, la Cnil a adopté le 4 juillet 2019 de nouvelles lignes directrices (3) qui sont venues abroger la recommandation de 2013. Ces lignes directrices ont été partiellement remises en cause par le Conseil d’Etat (4), et une nouvelle version a alors vu le jour le 17 septembre 2020 (5), assortie de recommandations opérationnelles (6) pour accompagner au mieux les éditeurs.
A la lecture de ces nouveaux documents adoptés par la Cnil, on note tout d’abord que l’obligation d’information préalable des utilisateurs est renforcée par rapport à 2013, même si ses modalités ne changent pas réellement : la Cnil recommande toujours une information à deux niveaux, avec un premier niveau mis en évidence lors de la connexion à la plateforme, qui contient les informations essentielles (dans la fameuse interface de recueil de consentement souvent appelée « bannière cookies ») et qui renvoie à un second niveau d’information plus complet. Cependant, les éléments devant figurer dans ces deux niveaux d’information sont largement précisés et apparaissent plus contraignants qu’auparavant. Les entreprises devront ainsi notamment s’assurer que leur bannière cookies :
Mette en exergue chaque finalité spécifique dans un intitulé court accompagné d’un bref descriptif. Un niveau de détail plus important que celui qui existe actuellement est donc requis dès le premier niveau d’information. Il ne sera dès lors plus possible, par exemple, de se contenter d’informer l’utilisateur de l’utilisation de cookies à des fins publicitaires ; il faudra préciser si ces derniers sont utilisés pour de la publicité ciblée, non-ciblée, géolocalisée, etc.
Permette à l’utilisateur d’accéder facilement à une information détaillée sur chaque finalité. L’utilisateur doit pouvoir cliquer sur un lien hypertexte « en savoir plus » ou ouvrir un menu déroulant lui donnant, pour chaque finalité, des informations plus précises sur les opérations techniques réalisées.
Permette à l’utilisateur d’accéder facilement à la liste exhaustive et à jour des responsables de traitement. Pour ce faire, la Cnil recommande d’indiquer le nombre de responsables de traitement et de renvoyer, via un lien hypertexte, vers une liste plus exhaustive (avec leur identité et un lien vers leur politique de protection des données) (7). L’éditeur devra donc être en mesure d’établir une liste de l’ensemble des organismes qui seraient susceptibles de déposer des cookies sur son site/application (cookies tiers) pour leur propre compte et devra mettre cette liste à jour régulièrement.

Ingrédient essentiel : le consentement
La « recette » reste inchangée : sans consentement, pas de cookies – sauf exceptions. Mais, à la suite de l’entrée en vigueur du RGPD le 25 mai 2018, les modalités d’obtention de ce consentement préalable ont été durcies. Pour que le consentement soit valide il faut désormais, selon la Cnil, que la bannière cookies permette à l’utilisateur :
D’exprimer son consentement à l’utilisation de cookies par un acte positif clair, comme par exemple cocher une case (non pré-cochée) ou cliquer sur un bouton « accepter ». Changement majeur donc : la simple poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement.
D’accepter ou refuser le dépôt de cookies avec le même degré de simplicité, via le même écran. Alors que la Cnil réclamait initialement dans son projet de recommandation une symétrie parfaite pour les boutons accepter et refuser (même niveau, même format), elle semble avoir quelque peu assoupli sa position en envisageant également d’autres modalités de refus comme par exemple un bouton « continuer sans accepter » situé sur le même écran, mais à un autre niveau. Même si la Cnil met en garde contre les pratiques trompeuses qui mettent visuellement plus en valeur un choix plutôt qu’un autre, un tel assouplissement risque néanmoins de permettre aux éditeurs d’orienter le choix des utilisateurs en adaptant le design de l’interface.
D’exprimer son choix de manière granulaire. Si l’utilisateur peut avoir la possibilité d’accepter tous les cookies en même temps (via un bouton « tout accepter » par exemple), il doit également avoir la possibilité d’exercer son choix finalité par finalité. Un bouton « personnaliser mes choix » qui se trouverait au même niveau que le bouton « tout accepter » doit lui être proposé.

Les « cookie walls » sous surveillance
Quant à la position de la Cnil sur les « cookie walls » qui consistent à subordonner la fourniture d’un service ou l’accès à un site en ligne à l’acceptation de cookies, elle était également très attendue. D’autant qu’un arrêt du Conseil d’Etat (8) avait annulé la prohibition générale et absolue d’une telle pratique initialement souhaitée par la Cnil, satisfaisant ainsi de nombreux professionnels du numérique – notamment des médias et de la publicité. Cette pratique des « cookie walls » est mise en œuvre par de nombreux éditeurs qui espèrent conduire ainsi une majorité d’utilisateurs à donner leur consentement. Si la Cnil a assoupli sa position à la suite de l’arrêt du Conseil d’Etat, elle n’en demeure pas moins réticente car elle considère que ces cookies « accepter sinon pas d’accès » sont susceptibles de porter atteinte à la liberté du consentement. Elle tire néanmoins les conséquences de l’arrêt du Conseil d’Etat en admettant une telle pratique à condition que sa licéité soit analysée au cas par cas et que l’éditeur indique clairement à l’utilisateur qu’il ne pourra accéder au contenu souhaité sans donner son consentement. On reste malgré tout loin du blanc-seing souhaité par de nombreux acteurs du marché qui ont été à l’origine d’un lobbying actif sur ce sujet…
Les éditeurs de sites web ou d’applications mobiles doivent être en mesure de démontrer à tout moment que le consentement a été valablement recueilli (9). A cette fin, la Cnil propose plusieurs moyens : mise sous séquestre du code informatique utilisé, capture d’écran, audits réguliers, conservation des informations relatives aux outils utilisés, etc. Concernant la durée de conservation du choix de l’utilisateur, la Cnil recommande de le conserver pendant une période de six mois. Un tel délai, protecteur des intérêts des utilisateurs, s’avère cependant bien contraignant pour les éditeurs qui, par exemple, ne pourront pas ressolliciter trop rapidement un utilisateur ayant refusé le dépôt de cookies. La Cnil ne s’était d’ailleurs prononcée en 2013 que sur le délai de validité du consentement qui était alors bien plus long puisqu’il pouvait aller jusqu’à treize mois. Les éditeurs pourront néanmoins prévoir une durée différente de conservation sous réserve d’être en mesure d’en expliquer les raisons. Dans un souci toujours évident de protéger les choix des utilisateurs, la Cnil précise enfin que les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment aussi simplement qu’ils l’ont donné. Le moyen mis à disposition pour retirer leur consentement doit donc être aisément accessible sur toutes les pages du site web ou de l’application mobile, à travers un intitulé explicite et doit pouvoir être utilisé facilement. Sont donc proscrites les pratiques consistant à renvoyer l’utilisateur de page en page puis de lien en lien avant de lui permettre d’accéder au mécanisme de gestion des cookies.
En conclusion, si la recette de la Cnil n’a pas fondamentalement changé, elle s’est sans aucun doute complexifiée. La Cnil réaffirme ainsi sa volonté de protéger au mieux les données des utilisateurs – au risque d’impacter négativement de nombreux éditeurs et publicitaires, qui risquent de voir leurs taux de consentement chuter drastiquement. La Cnil tente néanmoins de faire preuve de pragmatisme en laissant aux éditeurs six mois pour se mettre en conformité et en essayant de leur fournir des conseils concrets et détaillés à travers ses recommandations. Cette mise en conformité ne doit cependant pas tarder car la Cnil a indiqué qu’elle ferait du respect des dispositions applicables aux cookies l’un de ses axes de contrôle pour 2021. Rappelons que l’autorité de la protection des données a la possibilité d’effectuer des contrôles en ligne et qu’elle avait sanctionné de cette manière de nombreuses sociétés en 2013 lors de la publication de ses précédentes lignes directrices. @

FOCUS
Des exemptions au consentement obligatoire très limitées
Comme auparavant, un certain nombre de cookies sont exemptés des obligations d’information et d’obtention du consentement. Il s’agit des cookies qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. La Cnil cite plusieurs exemples de cookies concernés par l’exemption comme ceux destinés à l’authentification de l’utilisateur ou ceux permettant de garder en mémoire le contenu d’un panier d’achat. Toutefois, les utilisateurs doivent être informés de l’existence de ces traceurs, par exemple dans la politique de confidentialité. Quant aux cookies de mesure d’audience (10), ils sont désormais présentés par la Cnil comme faisant partie des cookies pouvant par principe bénéficier de l’exemption (là où en 2013 ils constituaient plutôt l’exception). Mais ce cookie de mesure d’audience doit avoir pour seule finalité… la mesure de l’audience et pour le compte exclusif de l’éditeur — donc pas de transmission des données à des tiers (11).
En pratique, les offres les plus utilisées, telles que Google Analytics ou Facebook Analytics, qui réutilisent souvent les données pour leur propre compte, ne pourront probablement pas bénéficier de l’exemption sauf à proposer des paramétrages de leurs outils spécifiques. @

Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.

La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.

Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.

Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.

Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

La taxe «Google Images» revient dans le tuyau

En fait. Le 25 août, Next INpact a signalé que la Société des auteurs dans les arts graphiques et plastiques (ADAGP) se félicitait – dans son dernier rapport annuel publié cet été – du nouveau texte prévoyant que les moteurs de recherche tels que Google paient une redevance sur les images indexées.

En clair. « Sous l’impulsion de l’ADAGP [Société des auteurs dans les arts graphiques et plastiques, ndlr], un nouveau texte a été élaboré au sein du Conseil supérieur de la propriété littéraire et artistique (CSPLA) en vue de redonner effet au mécanisme créé en 2016, et faire en sorte qu’enfin, les moteurs de recherche d’images, et notamment Google, paient des droits aux artistes dont ils exploitent le travail. Le ministère de la Culture s’est engagé à l’introduire sous forme d’amendement gouvernemental dans le projet de loi audiovisuel », écrit la société de gestion collective des droits de 190.000 artistes français et étrangers, dans son rapport d’activité 2019 mis en ligne cet été. C’est Next INpact qui a fait état de ce passage le 25 août (1). Cette redevance, surnommée taxe « Google Images », est prévue depuis quatre ans, « le dispositif relatif aux services automatisés de référencement d’images » ayant été adopté dans le cadre de la loi « Création » du 7 juillet 2016, à la suite d’un amendement déposé par sénateur Jean-Pierre Leleux et adopté (2). « Cet amendement vise à instaurer un mécanisme permettant d’assurer la rémunération des auteurs d’œuvres d’art plastiques, graphiques et photographiques ou de leurs ayants droit pour les images que les moteurs de recherche et de référencement s’approprient aujourd’hui sans autorisation et mettent à la disposition du public sur Internet », avait-il justifié. Un projet de décret avait été ensuite notifié, le 5 septembre 2016, à la Commission européenne (3). Mais c’était sans compter sur un avis négatif du Conseil d’Etat qui, en février 2017, a pointé « les risques juridiques » (4) (*) (**) au regard notamment d’une décision du 16 novembre 2016 de la Cour de justice de l’Union européenne (CJUE). Celle-ci estimait qu’un tel mécanisme de gestion collective obligatoire applicable aux moteurs de recherche d’images ne pouvait pas être mis en œuvre à un niveau national sans être expressément autorisé par le droit européen. « C’est désormais chose faite grâce à l’article 12 sur les licences collectives étendues de la directive [européenne sur le droit d’auteur et le droit voisin dans le marché unique numérique, ndlr]», se félicite aujourd’hui l’ADAGP, laquelle se verrait bien être le gestionnaire de cette taxe « Google Images » avec la Société des auteurs des arts visuels et de l’image fixe (SAIF). La balle est dans le camp du gouvernement. @