Archives par mot-clé : Europe

Le débat relancé aux Etats-Unis sur la neutralité d’Internet pourrait se propager à l’Europe

Publié le par

Le 2 janvier 2025, la présidente de la Federal Communications Commission (FCC), Jessica Rosenworcel, a appelé le Congrès des Etats-Unis à graver dans le marbre le principe de la neutralité d’Internet – après qu’une cour d’appel américaine l’a remis en cause le jour-même. Et en Europe ?

La réaction de la présidente de la Federal Communications Commission (FCC), la démocrate Jessica Rosenworcel (photo), ne s’est pas faite attendre après que, le 2 janvier 2025, un arrêt d’une cour d’appel fédérale américaine a remis en cause la neutralité d’Internet, principe de non-discrimination et de non-blocage des accès aux contenus en ligne qu’avait rétabli Joe Biden lorsqu’il était encore président des Etats-Unis. Jessica Rosenworcel, dont le mandat se termine le 1er juillet 2025, demande au Congrès américain d’inscrire la « Net Neutrality » ou l’« Open Internet » dans la loi fédérale.

Une loi fédérale pour l’Internet ouvert ?
« Les consommateurs de tout le pays nous ont dit à maintes reprises qu’ils veulent un Internet rapide, ouvert et équitable. Avec cette décision [de la Cour d’appel du Sixième Circuit, ndlr], il est clair que le Congrès doit maintenant écouter leur appel, prendre en charge la neutralité du Net et mettre des principes d’Internet ouverts dans la loi fédérale », a déclaré la présidente de la FCC (1). Parmi les membres du collège de cette agence fédérale sur les télécommunications, la commissaire Anna Gomez, elle aussi démocrate, a abondé dans le sens de la présidente pour que soit enfin préservé ce principe d’Internet ouvert : « Il y a un principe au cœur du débat sur l’Internet ouvert sur lequel nous sommes tous d’accord : l’accès à l’Internet haut débit est essentiel pour la vie moderne. Des garde-fous appropriés sont nécessaires pour assurer l’accessibilité et la sécurité de ce service essentiel à tous. Dans la foulée de la décision du Sixième Circuit, le Congrès devrait agir pour mettre fin à ce débat et protéger les consommateurs, promouvoir la concurrence et le leadership économique, et assurer l’intégrité de nos réseaux » (2).
Pour la énième fois, le débat sur la neutralité d’Internet est relancé aux Etats-Unis, opposant d’un côté les opérateurs télécoms favorables à l’abolition de ce principe et de l’autres les plateformes numériques souhaitant au contraire préserver cette neutralité des réseaux. Le bras de fer se joue jusqu’au plus haut sommet de l’Etat américain, à la Maison-Blanche. (suite)

Après une consultation publique menée en 2023, la FCC avait finalement réinstauré la neutralité d’Internet par un règlement adopté le 25 avril 2024 et publié le 7 mai – sur 512 pages –, intitulé « Safeguarding and Securing the Open Internet; Restoring Internet Freedom » (3). En français : « Protéger et sécuriser l’Internet ouvert ; Rétablir la liberté sur Internet ». Ce fut à l’époque une victoire pour Joe Biden, 46e président des Etats-Unis, sur son prédécesseur Donald Trump. Sous le mandat du 45e président américain (janvier 2017-janvier 2021), la FCC avait en effet adopté le 14 décembre 2017 un règlement historique (4) mettant un terme à la neutralité du Net par l’abrogation de l’« Open Internet Order » du 13 mars 2015 adopté par son prédécesseur Barack Obama (5). Ce dernier, 44e président des Etats-Unis, avait pris position le 10 novembre 2014 (il y a un peu plus de dix ans maintenant) en faveur d’une « stricte » neutralité du Net. Elle se résumait en trois « No » : « No blocking, No throttling, No paid prioritization », comprenez « aucun blocage, aucun goulot d’étranglement, aucune priorisation payante » (6).
L’abolition de la « Net Neutrality » en 2017 n’avait déjà pas plu à l’époque à la présidente de la FCC Jessica Rosenworcel qui avait plaidé pour un Internet ouvert en ces termes : « Cette décision [le règlement de 2017] a placé la [FCC] du mauvais côté de l’histoire, du mauvais côté de la loi et du mauvais côté du public américain. N’oubliez pas que 80 % des gens sont en faveur de la neutralité du Net. Aujourd’hui, nous proposons de rétablir des règles applicables et claires pour empêcher le blocage, la limitation et la priorisation payante » (7). Depuis le début de son mandat, Joe Biden voulait rétablir la neutralité d’Internet, mais le vote démocrate au sein de la FCC n’était pas majoritaire. Jusqu’à ce que le 46e locataire de la Maison-Blanche nomme en mai 2023 Anna Gomez, donnant à la FCC une majorité démocrate.

La Cour d’appel : retour en arrière
C’est ainsi que le règlement « Protéger et sécuriser l’Internet ouvert » d’avril 2024 a pu être promulgué par la FCC (8). Une fois promulgué, ce règlement de l’an dernier avait redonné toute compétence à la FCC au niveau national pour contrôler le respect de la Net Neutrality. Et ce, conformément au Titre II du Communications Act de 1934 amendé par le Telecommunications Act de 1996. Ce même projet de règlement « Protéger et sécuriser l’Internet ouvert » visait en outre à reconnaître le haut débit fixe et mobile comme « service essentiel » et à obliger les fournisseurs d’accès à Internet (FAI) à résoudre rapidement les pannes de réseau, tout en assurant la cybersécurité des internautes et la protection de leur vie privée. Pour autant, seulement une douzaine d’Etats des Etats-Unis avaient inscrit des règles de neutralité du Net dans leur législation locale. L’Internet américain s’appuie depuis sur un vrai patchwork réglementaire.

Biden accusé de tactique « Chicken Little »
L’arrêt de la Cour d’appel du Sixième Circuit remet en cause le 2 janvier 2025 – et en seulement 26 pages – la neutralité du Net au niveau fédéral (9). Ce dont s’est félicité un autre commissaire de la FCC, qu’il présidera à partir du 20 janvier, le républicain Brendan Carr (photo ci-contre) dans sa déclaration datée également du 2 janvier : « La Cour d’appel du Sixième Circuit des Etats-Unis a rendu une décision qui annule dans son intégralité le plan du président Biden visant à accroître le contrôle gouvernemental sur Internet par l’entremise de la réglementation relative à la “neutralité du réseau” […]. La cour a jugé que la FCC avait outrepassé son autorité […], par conséquent, la cour a rétabli l’accès haut débit à Internet dans le même cadre réglementaire bipartite qui lui a permis de prospérer pendant des décennies ».
Pour Brendan Carr, nommé à la tête de la FCC par Donald Trump, 47e président des Etats-Unis investi ce 20 janvier, ce coup d’arrêt de la neutralité du Net serait une bonne nouvelle pour les Américains et leur liberté d’expression : « Au cours des quatre dernières années, l’administration Biden a œuvré à étendre le contrôle du gouvernement sur toutes les caractéristiques de l’écosystème Internet. Vous pouvez le voir dans ses efforts pour faire pression sur les entreprises de médias sociaux afin qu’elles censurent les droits à la liberté d’expression ».
Le commissaire républicain a même reproché à l’administration Biden de donner à la FCC « des pouvoirs presque illimités sur Internet » (10) et d’avoir adopté la tactique dite de « Chicken Little » pour persuader les Américains que l’Internet se briserait en l’absence de ces règlements dits « neutres » du Net. « Chicken Little » fait référence à une stratégie de communication alarmiste où l’on exagère ou dramatise une situation pour susciter une réaction émotionnelle forte, souvent de peur ou d’urgence. Le terme provient du conte pour enfants « Chicken Little » (ou « Henny Penny »), où un petit poulet croit que le ciel est en train de tomber après avoir été frappé par un gland, et répand la panique parmi les autres animaux. « Le peuple américain a maintenant vu cette ruse », a assuré Brendan Carr. Selon lui, Joe Biden aurait perdu du temps à vouloir contrôler Internet plutôt que de combler le fossé numérique dans l’accès à l’Internet haut débit dans le pays. Et le nouveau patron de la FCC de conclure : « Je suis heureux que la cour d’appel ait invalidé le coup de force du président Biden sur Internet en annulant ces règlements illégaux du titre II [du Communications Act de 1934 amendé par le Telecommunications Act de 1996, ndlr] ».
Dans leur décision du 2 janvier 2025, trois juges de la Cour d’appel du Sixième Circuit – Richard Griffin (républicain, nommé en 2002 par George W. Bush), Raymond Kethledge (républicain, nommé en 2008 par George W. Bush) et John Bush (républicain, nommé en 2017 par Donald Trump) – ont considéré infondé le règlement « Protéger et sécuriser l’Internet ouvert » qu’avait adopté le 25 avril 2024 la FCC par trois voix « démocrate » pour, et deux « républicain » contre. Dans cette affaire « Ohio Telecom Association versus FCC », les trois juges ont estimé que la FCC n’était pas compétente pour notamment reclassifier les services d’accès à Internet haut débit comme des services de télécommunications, soumettant ainsi les FAI à une réglementation plus stricte. L’USTelecom, réunissant opérateurs télécoms et équipementiers du haut débit et de la fibre, a publié avec d’autres associations (comme l’Ohio Telecom Association, la NCTA ou encore la CTIA) un communiqué daté du 2 janvier 2025 : « La décision [de la Cour d’appel du Sixième Circuit] confirmant que l’accès à Internet haut débit est un “service d’information” n’est pas seulement une lecture correcte de la loi, mais aussi une victoire pour les consommateurs américains qui conduira à plus d’investissements, d’innovation et de concurrence sur le marché numérique dynamique » (11).

Vers une onde de choc en Europe ?
L’abolition de la neutralité du Net aux Etats-Unis va dans le sens de ce que souhaitent les grands opérateurs télécoms européens (Orange, Deutsche Telekom ou TIM en tête), lesquels militent – via notamment leur lobby Etno (12) – pour un Internet à péages. Ils avaient l’oreille de Thierry Breton lorsqu’il était commissaire européen au marché intérieur. Avant de démissionner avec fracas le 16 septembre 2024 (13), celui-ci a mis sur les rails le projet de règlement européen sur les réseaux numériques – le Digital Networks Act (DNA) – qui envisage une « contribution équitable » (network fees ou fair share) que seraient obligés de verser les Gafam aux « telcos » pour emprunter leurs réseaux (14). De quoi remettre en cause, de ce côté de l’Atlantique aussi (15), le principe de neutralité d’Internet. @

Charles de Laubier

« Résumé suffisamment détaillé » : 2025 sera l’année de vérité dans la mise en œuvre de l’AI Act

Publié le par

Le rapport du CSPLA sur la mise en œuvre du règlement européen établissant des règles harmonisées sur l’IA fournit les ingrédients mais… pas la recette ! Le Bureau européen de l’IA, créé par l’AI Act, doit publier prochainement un « modèle européen » à suivre par les Vingt-sept.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le rapport « IA et Transparence des données d’entraînement » (1), publié le 11 décembre 2024 par le Conseil supérieur de la propriété littéraire et artistique (CSPLA), s’inscrit dans la préparation de la mise en œuvre du règlement européen sur l’intelligence artificielle (AI Act) et a pour objectif de clarifier l’interprétation et la portée des dispositions imposant un modèle de « résumé suffisamment détaillé » (2). Ce modèle sera présenté au nom de la France dans le cadre du processus d’adoption d’un modèle européen par le Bureau européen de l’IA (AI Office), autorité créée par l’AI Act et chargée d’accompagner les fournisseurs d’IA dans leur mise en conformité. La publication du modèle européen est attendue pour janvier 2025.

Transparence des données d’entraînement
La collecte de données de qualité, notamment de données culturelles, est d’une importance stratégique pour les fournisseurs d’IA, puisque les systèmes d’IA ont besoin d’ingurgiter de grandes quantités de données, leur servant de modèles dans leurs productions. Or, des données contenant des créations protégées par un droit de propriété intellectuelle peuvent avoir été obtenues sans autorisation ou sans tenir compte d’un « opt-out », et avoir été effectivement exploitées. Il en va de même concernant des données personnelles (posts Facebook, Instagram, …) potentiellement utilisées pour l’entraînement de modèles d’IA. L’enjeu est alors d’avoir accès à l’information sur les données d’entraînement utilisées par une IA, pour bien des raisons et notamment ouvrir une visibilité aux ayants droits dont des données et/ou créations auraient été mobilisées, quelles qu’en soient les modalités.
Pour ce faire, les fournisseurs d’IA sont désormais soumis à une obligation de transparence qui se concrétise par la mise en place d’une politique de conformité, ainsi que par la mise à disposition au public d’un « résumé suffisamment détaillé » (sufficiently detailed summary) des contenus utilisés pour l’entraînement du modèle d’IA. Ce résumé permet le développement d’une IA de confiance souhaitée au niveau européen (3), en remédiant aux difficultés rencontrées par les titulaires de droits, confrontés à une charge de la preuve disproportionnée concernant l’utilisation de leurs contenus. Pour autant, le résumé doit répondre aux enjeux de la création d’un marché dynamique et équitable de l’IA. Ce qui impose un compromis pour restreindre la quantité d’informations mise à disposition afin de protéger le secret des affaires, moteur d’innovation pour les fournisseurs d’intelligence artificielle. (suite)

La mission à l’origine du rapport approuvé par le CSPLA (4) rappelle à ce titre qu’il convient de « donner à la transparence les conséquences attendues, à savoir créer un marché et permettre la rémunération des contenus » (5). Il s’appuie sur deux principaux points pour justifier son modèle de résumé.
En premier lieu, l’obligation de mettre en place une politique de conformité et celle de mettre à disposition du public un résumé suffisamment détaillé sont indissociables en ce qu’elles participent au même objectif de transparence. A ce titre, et par souci de cohérence avec le « codes de bonne pratique » (code of practice) attendu auprès du bureau de l’IA, la mission considère que la politique de conformité devrait apparaître, au moins dans ses grandes lignes, dans le résumé. La mission explicite certains des principaux éléments de conformité qui devraient figurer dans le résumé. Elle souligne que l’AI Act exige explicitement que la politique de conformité inclut l’« identification et le respect (…) des réserves de droits exprimées conformément à l’article 4, paragraphe 3, de la directive [« Copyright » de 2019 (6)] » (7), mécanisme dont les faiblesses ont été éclairées lors de la récente décision du tribunal régional d’Hambourg dans l’affaire « LAION c/ Robert Kneschke» (8).

Fouille de textes et de données (TDM)
Pour mémoire, le dispositif de ces articles que nous avons commenté (9) permet aux titulaires de droits de s’opposer à la fouille de textes et de données si les œuvres et autres objets protégés ont été réservés « par leurs titulaires de droits de manière appropriée, notamment par des procédés lisibles par machine pour les contenus mis à la disposition du public en ligne ». Or, le tribunal allemand a notamment validé l’application des exceptions de « fouille de textes et de données » (TDM) pour l’entraînement des systèmes d’IA. D’autre part, le tribunal allemand a pour la première fois en Europe établi un précédent concernant l’exception de TDM en insistant sur la nécessité pour les fournisseurs d’intelligence artificielle d’adopter des technologies pour respecter les clauses de réserve exprimées au titre de l’article 4 de la directive « Copyright ». En abordant la question de l’opt-out et la possibilité pour les détenteurs de droits de s’opposer à l’utilisation de leur contenu, le tribunal d’Hambourg a noté que l’opt-out exprimé en langage naturel pouvait être considéré comme « machine-lisible », ce qui aura des implications pour la manière dont les « optout » sont formulés et reconnus à l’avenir. Par conséquent, omettre de mentionner la clause de réserve de droits dans le résumé reviendrait à réduire la portée de l’obligation de transparence (10).

Détail du résumé et secret des affaires
Par ailleurs, le modèle de résumé devrait inciter les fournisseurs à préciser les protocoles reconnus par les « moissonneurs » de données qu’ils utilisent, que ce soit directement ou via des tiers et lorsqu’il s’agit de jeux de données obtenus gratuitement ou moyennant paiement auprès de tiers, et si des mesures ont été mises en place pour garantir que ces données ont été collectées en conformité avec la législation applicable, notamment en vérifiant l’existence d’une autorisation ou d’une licence.
En second lieu, le modèle de résumé doit être pensé afin de garantir un niveau de protection suffisant aux titulaires de droit tout en préservant l’innovation et ainsi conserver l’effet utile du texte. La mission du CSPLA souligne que la finalité du résumé telle que rappelée dans les considérants du règlement est d’« aider les parties ayant des intérêts légitimes, y compris les titulaires de droit d’auteur, à exercer et à faire respecter les droits que leur confère la législation de l’Union », sans pour autant porter atteinte au secret des affaires. A ce titre, le degré de détail du résumé doit s’apprécier au regard de cet objectif et de cette limite, afin de garantir l’effet utile du texte (11).
Pour garantir l’effet utile du résumé, le mission propose dans son rapport une approche graduée, ajustant le niveau de détail selon la nature des contenus, tout en veillant à préserver un équilibre avec le respect du secret des affaires. A ce titre, la mission estime que l’information relative aux contenus et le degré détail attendu est fonction du degré de fiabilité des sources. Pour les contenus libres de droit, ainsi que les contenus relevant d’arrangements contractuels, des informations générales peuvent suffire. Pour les autres contenus protégés, la mission estime que le secret des affaires ne saurait justifier de se borner à transmettre la liste des principales sources et donc ne pas transmettre la liste des URL (12), à savoir des adresses des sites web moissonnés. La mission souligne que l’AI Act insiste sur la nécessité de fournir un résumé complet pour permettre aux parties ayant des intérêts légitimes, comme les titulaires de droits d’auteur, d’exercer et de faire respecter leurs droits (13). Si le secret des affaires peut limiter le niveau de détail technique, il ne peut réduire le résumé au point de le rendre inefficace. Ainsi, la mission énonce comme essentielles certaines informations, telles que les URL des sites Internet d’où proviennent les données récupérées, la date de moissonnage, ainsi que la taille et le type de données utilisées. Toutefois, elle précise que des informations plus détaillées, comme les modalités d’utilisation des contenus (par exemple, méthode de filtrage ou tokenisation), relèvent du secret des affaires et ne doivent pas être divulguées dans le résumé public. Néanmoins, le secret des affaires ayant ses limites, ces informations pourront être divulguées dans le cadre d’une réclamation.
Le rapport du CSPLA se base notamment sur l’inopposabilité du secret des affaires au autorités judiciaires et administratives. A ce titre, la Cour de justice de l’Union européenne (CJUE) a considéré dans son arrêt « Dun&Bradstreet Austria GmbH » (14) que le secret des affaires ne saurait conduire à écarter le droit d’un individu, au titre du règlement européen sur la protection des données (RGPD) de comprendre une décision qui l’affecte. Pour la mission, cette solution est transposable aux dispositions de droit d’auteur issues des textes européens : le secret des affaires ne peut conduire, en vidant toute substance le résumé suffisamment détaillé, à écarter le droit qu’un titulaire de droits tire de l’AI Act à disposer d’éléments pouvant l’aider « à exercer et à faire respecter les droits que leur confère la législation de l’Union [européenne] ».
La mission souligne que si le Bureau de l’IA, lors de ses vérifications, n’a pas à examiner chaque œuvre ou contenu protégé individuellement pour contrôler la conformité des résumés fournis, l’AI Act n’interdit pas qu’un résumé inclut une liste des contenus protégés ou moissonnés, à condition que cette liste demeure globalement complète (15). L’exhaustivité de cette liste pourrait et devrait également être contrôlée dans le cadre d’une réclamation.

Droit d’auteur et données personnelles
Ainsi, pour la mission du CSPLA, il s’agit au stade du résumé public d’identifier les sources collectées pour l’entraînement de l’IA, mais pas encore d’explorer comment ces sources ont été utilisées, tenant compte du secret des affaires. Ces informations pouvant être révélées ultérieurement dans le cadre d’une réclamation, la protection des titulaires de droit demeure assurée. Les ingrédients donc… mais pas la recette. Le rapport du CSPLA confirme la lecture que l’on pouvait faire de l’AI Act, selon laquelle « l’obligation de transparence s’étend bien au-delà des contenus protégés par le droit d’auteur et les droits voisins » (16), et intègre notamment les données à caractère personnel. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des médias et des technologies.

Le groupe Bolloré divise Vivendi pour… mieux régner

Publié le par

En fait. Le 16 décembre, à 9h (heure de Paris), est le premier jour de cotation de chacune des trois sociétés issues du spin-off du groupe Vivendi, à savoir respectivement Canal+ à la Bourse de Londres, Havas à celle d’Amsterdam et Louis Hachette Group (dont Lagardère et Prisma Media) à celle de Paris.

En clair. A défaut d’être une opération industrielle, l’éclatement du conglomérat Vivendi est une opération purement boursière. L’objectif du groupe Bolloré est – avec cette scission annoncée il y a un an – de mieux valoriser séparément en Bourse ses différents actifs, ankylosés au sein du désormais ex-conglomérat Vivendi, dont la valorisation boursière a déçu et agacé pendant plus de quinze ans respectivement l’ancien président du conseil de surveillance Jean-René Fourtou (1) et le milliardaire Vincent Bolloré qui lui a succédé il y a plus de 10 ans (2).
Le premier, qui avait abandonné en 2012 l’idée de scission avec d’un côté les réseaux (SFR, Maroc Télécom, GVT) et de l’autre les contenus (Canal+, Universal Music, Activision Blizzard), avait opté pour la vente de filiales : le géant du jeux vidéo Activision Blizzard cédé en juillet 2013 à un consortium « Activision Blizzard », Maroc Telecom cédé en novembre 2013 à Etisalat, l’opérateur télécoms SFR cédé en avril 2014 à Altice (3), et l’opérateur brésilien GVT en septembre 2014 à Telefonica. Ces cessions ont permis à Vivendi de réduire sa dette et de se concentrer sur les médias et les contenus. Mais cela n’a pas eu l’effet escompté sur le cours de Bourse du conglomérat. Ce fut même pire ! (suite)

Depuis une décennie, Vincent Bolloré rongeait son frein : entre septembre 2021, date de la scission d’Universal Music (introduit en Bourse mais encore détenu par Vivendi à hauteur de 9,98 % du capital), et l’annonce en décembre 2023 du split envisagé du groupe (4), Vivendi avait vu sa capitalisation boursière s’écrouler – passant de 38 milliards d’euros à seulement 10 milliards, voire en-dessous (5). De quoi faire enrager la 14e fortune de France (6).
Tout en procédant à la cotation de ses trois entités, la dynastie Bolloré continue de les garder sous contrôle, la holding Vivendi – cotée à Paris et détenue en droits de vote à 29,9 % par Vincent Bolloré via les compagnies de l’Odet et de Cornouaille – devenant actionnaire de référence de chacune d’elles. En éclatant le conglomérat en quatre sociétés cotées à Londres (Canal+), à Amsterdam (Havas) et à Paris (Louis Hachette Group et la holding Vivendi), le milliardaire breton s’affranchit du seuil réglementaire français des 30 % – en-dessous duquel il est resté dans Vivendi pour ne pas avoir à lancer une coûteuse offre publique d’achat (OPA) sur le reste du capital de l’ex-conglomérat. @

Commission européenne « 2024-2029 » depuis le 1er décembre : le numérique parmi ses priorités

Publié le par

La Commission « von der Leyen II » est en fonction depuis le 1er décembre 2024, et jusqu’au 31 octobre 2029. Parmi les 27 membres du collège, dont la présidente, il y a Henna Virkkunen et Ekaterina Zaharieva : pour rattraper le retard européen dans le numérique et l’innovation.

Ursula von der Leyen entame depuis le 1er décembre son second mandat de cinq ans (2024-2029) à la présidence de la Commission européenne, dont le collège composé de vingt-sept membres – y compris elle-même (1) – a été approuvé par les eurodéputés le 27 novembre dernier, par 370 pour, 292 contre et 36 abstentions. Cette Commission « von der Leyen II » (2) a été officiellement nommée par décision du Conseil européen datée du 28 novembre, publiée au Journal officiel de l’Union européenne (3) et entrée en vigueur le 1er décembre.

Deux femmes pour accélérer dans la tech
Ursula von der Leyen (« UVDL ») a déclaré qu’elle suivra, au cours de son second quinquennat, « une boussole pour la compétitivité » en s’appuyant sur « les trois grands piliers qui se dégagent du rapport Draghi ». C’est le premier d’entre eux qui nous intéresse ici, puisqu’il s’agit d’innover et de combler « le retard technologique », comme le pointait Mario Draghi, ancien président de la Banque centrale européenne (BCE), dans son rapport remis le 9 septembre à UVDL (4). « Le premier [pilier] consiste à combler l’écart qui nous sépare des Etats-Unis et de la Chine en matière d’innovation, a déclaré la présidente de la Commission européenne devant les eurodéputés à Strasbourg le 27 novembre. La part de l’Europe dans les demandes de brevets à l’échelle mondiale est comparable à celle des Etats-Unis et de la Chine. Cependant, seul un tiers de ces brevets sont exploités commercialement ». (suite)

Du côté des entreprises innovantes, l’Europe est devancée : « Nous faisons à peu près aussi bien que les États-Unis pour ce qui est de créer des start-up. Cependant, en ce qui concerne nos entreprises en expansion, nous sommes largement devancés par nos concurrents », regrette celle qui est à la tête de l’exécutif européen depuis cinq ans. L’Europe doit donc se ressaisir : « Il nous faut combler cet écart, martèle UVDL. Pour ces raisons, nous placerons la recherche et l’innovation, la science et la technologie au cœur de notre économie. Nous investirons davantage et adopterons une approche plus ciblée. De plus, nous veillerons à ce que nos petites entreprises, nos start-up et nos entreprises en expansion puissent prospérer ici, en Europe ». Et de dénoncer en creux le manque d’harmonisation de l’Union européenne censée avoir un marché unique du numérique : « Une start-up californienne peut se développer et lever des fonds partout aux États-Unis. Une start-up européenne, par contre, doit faire face à 27 obstacles nationaux différents ». C’est un peu comme si la présidente de la Commission européenne faisait l’autocritique de son premier bilan quinquennal. « Nous devons faciliter la croissance des entreprises en Europe, a déclaré UVDL devant les eurodéputés. Pour ces raisons et bien d’autres encore, Ekaterina Zaharieva sera la toute première commissaire aux start-up, à la recherche et à l’innovation ». La Bulgare Ekaterina Zaharieva (photo de gauche) devient ainsi, à 49 ans, une des pièces maîtresses de la Commission « von der Leyen II » (5), après avoir été vice-Première ministre de son pays, où elle était dernièrement députée.
Une autre femme va jouer un rôle déterminant au sein de l’exécutif européen : la Finlandaise Henna Virkkunen (photo de droite), nommée au sein du collège parmi les six vice-présidents exécutifs de la Commission européenne. A 52 ans, après avoir été plusieurs fois ministre dans son pays, elle a en charge les technologies numériques d’un point de vue souveraineté, sécurité et démocratique (6). « L’Europe, pour être compétitive, doit être le berceau de la prochaine vague de technologies de pointe. Je ne connais personne de plus qualifié pour montrer la voie à cet égard que Henna Virkkunen en tant que vice-présidente exécutive, a assuré UVDL aux eurodéputés. Elle ne ménagera aucun effort pour que l’Europe puisse s’appuyer sur les technologies numériques afin de renforcer sa prospérité, de stimuler l’innovation et d’améliorer la sécurité des citoyens. Et faire en sorte que la souveraineté technologique de l’Europe se construise ici, sur notre continent ».

Après Thierry Breton, Stéphane Séjourné
Quant au Français Stéphane Séjourné, ancien eurodéputé puis, moins d’un an, ministre de l’Europe et des Affaires étrangères, il devient à 39 ans un des vice-présidents exécutifs de la Commission « von der Leyen II ». Proposé mi-septembre par Emmanuel Macron après la démission fracassante de Thierry Breton (7), il est chargé à Bruxelles de la prospérité et de la stratégie industrielle, ainsi que responsable de l’industrie, des PME et du marché unique (8). La première vice-présidente de la Commission européenne, l’Espagnole Teresa Ribera (9), est, elle, chargée de la concurrence. @

Charles de Laubier

La Commission européenne accélère les déploiements de portefeuilles d’identité numérique (eID)

Publié le par

Dix ans après l’adoption du règlement dit « eIDAS » sur « l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur », l’identité numérique dans les Vingt-sept se met en place pour être disponible pour tous les Européens d’ici fin 2026.

« Les portefeuilles numériques pourront être utilisés pour ouvrir un compte bancaire, prouver son âge, renouveler des ordonnances médicales, louer une voiture ou encore afficher ses billets d’avion », promet la Commission européen, qui a adopté le 28 novembre quatre règlements d’application qui sont publiés au Journal Officiel de l’Union européenne (JOUE) pour entrer en vigueur vingt jour après, soit d’ici la fin de l’année. Il s’agit d’un cadre établissant normes, spécifications et procédures uniformes pour les fonctionnalités techniques des portefeuilles d’identité numérique européens – appelés aussi eID.

Pas de tracking ni de profiling
Cette harmonisation technique des portefeuilles d’identité numérique européens (en anglais European Digital Identity Wallets) va permettre à chacun des vingt-sept Etat membres de développer – certains l’on déjà fait – ses propres « eID » pour sa population nationale, avec l’objectifs que ces portefeuilles numériques soient disponibles pour tous les citoyens européens d’ici fin 2026. L’objectif du programme politique de la décennie numérique, initié par la Commission européenne présidée par Ursula von der Leyen (photo), laquelle a entamé son deuxième mandat le 1er décembre (lire p. 4), est que 100 % des citoyens des Vingt-sept aient accès à une identité numérique. (suite)

Grâce à ces quatre règlements d’application, ces wallets seront interopérables et acceptés dans l’ensemble de l’UE, avec la garantie de protéger les données personnelles et la vie privée des Européens qui seront invités à se les procurer. Ce sont potentiellement les 449,2 millions d’habitants (1) des Vingt-sept, ou du moins ceux en âge de l’utiliser, qui pourraient se doter d’un eID. « Chacun aura droit à un portefeuille d’identité numérique de l’UE reconnu dans tous les Etats membres. Cependant, il n’y aura aucune obligation d’utiliser un portefeuille d’identité numérique de l’UE », précise la Commission européenne (2). Mais surtout : « Les données sont stockées localement sur le portefeuille, avec les utilisateurs qui auront le contrôle sur les informations qu’ils partageront, sans suivi [zero tracking] ni profilage [no profiling] dans la conception de ces portefeuilles. Un tableau de bord sur la protection des renseignements personnels [privacy dashboard] sera également intégré, ce qui donnera une transparence complète sur la façon dont les données du portefeuille sont partagées et avec qui ». Les utilisateurs et les entreprises auront ainsi « un moyen universel, fiable et sécurisé de s’identifier » lorsqu’ils accèderont, où qu’ils soient en Europe, à des services publics ou privés. Ainsi, les Européens pourront avec leur eID – faisant office de carte d’identité nationale numérique reconnue partout dans l’UE mais aussi de portefeuille numérique – et à partir de leur smartphone ou autre terminal : de s’identifier en ligne et hors ligne, de conserver et d’échanger des informations ou documents fournis par des autorités publiques (nom, prénom, date de naissance, nationalité, etc.), de conserver et d’échanger des informations fournies par des acteurs privés dignes de confiance, ou encore d’utiliser ces informations pour attester le droit de résider, de travailler ou d’étudier dans un Etat membre donné. Concrètement, dans la vie quotidienne, le détenteur d’un wallet eID pourra auprès de services publics demander un acte de naissance, un certificat médical ou signaler un changement d’adresse, ouvrir un compte bancaire ou demander un prêt auprès d’une banque, remplir une déclaration fiscale, s’inscrire dans une université dans son pays d’origine ou dans un autre Etat membre, conserver une prescription médicale utilisable partout en Europe, prouver son âge, louer une voiture au moyen d’un permis de conduire numérique, s’enregistrer au début d’un séjour à l’hôtel, louer un appartement, signer un contrat, et bien d’autres choses encore (3). Pour l’UE, l’eID est un enjeu de souveraineté face aux Gafam qui, en tant que « très grandes plateformes » soumises aux obligations du règlement européen sur les services numérique (DSA), devront reconnaître ces wallets européens lorsqu’ils existent. C’est aussi pour le Vieux Continent de concurrencer les systèmes d’identification mis en place par les Google, Amazon, Facebook et autres Apple. Par exemple, les réseaux sociaux seront tenus de vérifier l’âge des adolescents sur présentation de leur eID européen afin d’empêcher ceux de moins de 13ans de s’y inscrire pour avoir un compte (4).

Données et documents personnels
Cette authentification numérique sécurisée pourrait être imposée à l’avenir pour l’accès aux sites web à caractère pornographique, sans avoir à révéler son identité. Dans le cadre du règlement européen sur l’identité numérique (eIDAS), adopté il y a dix ans (5) et applicable depuis juillet 2016, les informations contenues dans le wallet personnel permet à la personne détentrice de prouver son identité et ses déclarations sur elles-mêmes et sur ses relations (familiales par exemple, à la manière d’un livret de famille). Et ce, avec l’anonymat – c’est-à-dire sans révéler de données d’identification. Bien plus qu’une simple carte d’identité numérique, l’eID européen est un portefeuille numérique dans la mesure où il permet non seulement de s’identifier numériquement, mais aussi de stocker et de gérer les données d’identité et les documents officiels sous format électronique : permis de conduire, prescriptions médicales ou diplômes et qualifications d’études.

Déjà 31 notifications de systèmes eID
Le règlement eIDAS – cadre juridique transfrontalier – ne prévoit pas pour autant d’obligations. Il y a aucune obligation pour les Etats membres de fournir à leurs citoyens et à leurs entreprises un système d’identification numérique permettant un accès sécurisé aux services publics ou de garantir leur utilisation au-delà des frontières de l’UE. Il n’y a pas non plus d’obligation d’utiliser une telle identification. «Cela conduit à des divergences entre les pays. Certains pays proposent un système d’identification à leurs citoyens alors que d’autres ne le font pas et, lorsqu’ils le font, tous ces systèmes ne peuvent pas être utilisés au-delà des frontières », souligne la Commission européenne. En outre, elle ne prévoit pas d’instaurer une identité numérique européenne unique pour remplacer les identités numériques nationales. « Ce n’est pas l’objectif du règlement. Les Etats membres continueront de fournir des identités numériques. Les portefeuilles d’identité numérique de l’UE s’appuieront sur des systèmes nationaux qui existent déjà dans certains Etats membres », assure-t-on à Bruxelles. Chacun des Vingt-sept a le choix de notifier à Bruxelles ou pas son « schéma d’identification électronique » (6). Mais dès lors, par exemple, qu’un portefeuille d’identité numérique est notifié par un Etat membre et aux prestataires de services de confiance établis dans l’UE, le règlement eIDAS s’applique. Une fois notifié et approuvé officiellement, les Vingt-sept sont invités à « coopérer » afin que les schémas nationaux d’identification électronique notifiés soient « interopérables » (7). Pour cela, un « réseau de coopération » entre les pays européens a été créé – appelé en anglais Cooperation Network (CN), conformément à la décision d’exécution du 24 février 2015 de la Commission européenne sur « les modalités de coopération entre les Etats membres en matière d’identification électronique » (8).
En revanche, il «ne s’applique pas à la fourniture de services de confiance utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants » (9). Selon les constatations de Edition Multimédi@, 31 notifications pour un système eID ont été faites auprès de la Commission européenne et publiées au JOUE, sachant qu’un même pays peut faire plusieurs notifications sur des schémas d’identification électronique différents. A cela, s’ajoutent 2 prénotifications (Finlande et Portugal) et 1 en cours d’examen (peer reviewed) par les autres Etats membre (France). Ainsi, la France a procédé à deux notifications de systèmes eID : la première déposée en février 2021 et publiée au JOUEdu 28 décembre 2021 porte sur FranceConnect+, la version renforcée de la sécurité des démarches en ligne via l’identité numérique de l’administré (10) ; la seconde déposée en avril 2024, mais non encore publiée au JOUE, concerne France Identité, utilisant simultanément la carte d’identité française (carte à puce avec code Pin) et l’application mobile France Identité afin d’être authentifié en ligne avec FranceConnect+ ou directement auprès d’un fournisseur de services électroniques tel que eProxyVoting (11). L’Etat français s’était fixé l’objectif que 100 % des Français puissent, au 1er janvier 2027, avoir accès à une identité numérique gratuite. L’Allemagne, elle, a été le premier pays de l’UE à notifier, en septembre 2017, un système eID concernant la carte d’identité nationale, le permis de séjour électronique, et la carte d’identité électronique pour les citoyens de l’UE et les ressortissants de l’Espace économique européen (EEE) (12). Dans d’autres pays européens, des eID existent (13) tels que par exemple MitID au Danemark, Spid en Italie, Evrotrust en Bulgarie, DNIe en Espagne, DigiD aux Pays-Bas, eID.li au Liechtenstein, ou encore plus simplement Citizen Certificate en Finlande.
Toutes ces solutions nationales eID, puisqu’elles ont été notifiées, approuvées à l’échelon européen et publiées au JOUE, garantissent non seulement leur interopérabilité dans les Vingt-sept, mais aussi un niveau élevé de sécurité de leurs schémas d’identification électronique. La Commission européenne a publié l’architecture et le cadre de référence sur GitHub (14). Les portefeuilles d’identité numérique de l’UE sont développés en open source pour atteindre une plus grande interopérabilité.

Quatre projets pilotes jusqu’en 2025
« En mai 2023, quatre projets pilotes à grande échelle ont été lancés dans le but de tester le portefeuille d’identité numérique de l’UE et d’assurer son déploiement sûr et sans heurts. Ces projets pilotes concernent environ 360 entités, dont des entreprises privées et des autorités publiques de 26 Etats membres, de Norvège, d’Islande et d’Ukraine », signale la Commission européenne (15). Ces projets pilotes – que sont EU Digital Identity Wallet Consortium (EWC (16)), Potential (17), Nobid (18) et DC4EU (19) – devraient se poursuivront jusqu’en 2025. Ces quatre projets pilotes « à grande échelle » font un retour d’expérience pour les Etats membres intéressés et contribuent au développement d’une « boîte à outils commune » pour garantir un déploiement sécurisé (20). @

Charles de Laubier