Protection des données en Europe : pour le CEPD, le groupe Meta ne peut imposer sa loi

Facebook, Instagram et WhatsApp (réseaux sociaux du groupe Meta) ont été épinglés par la « Cnil » irlandaise, la DPC, pour ne pas avoir respecté le règlement européen sur la protection des données (RGPD). Mais faute de consensus avec ses homologues des Vingt-sept, le CEPD a eu le dernier mot.

Par Jade Griffaton et Emma Hanoun, avocates, DJS Avocats

Après cinq ans de procédure, deux sanctions ont été annoncées respectivement les 4 et 19 janvier 2023 pour un total de 395,5 millions d’euros pour le non-respect des mesure imposées par le règlement européen sur la protection des données personnelles (RGPD). Il s’agit de trois amendes infligées à Meta en Irlande par la DPC, la commission de protection des données, à savoir la « Cnil » irlandaise (1). Au coeur du débat : la publicité ciblée pour les utilisateurs des réseaux sociaux du groupe : Facebook (210 millions d’euros d’amende), Instagram (180 millions) et WhatsApp (5,5 millions). Des enquêtes avaient été entreprises après des plaintes de l’organisation autrichienne Noyb (2) pour la protection de la vie privée, fondée par Max Schrems.

Un contexte procédural complexe
La société Meta Ireland est au coeur des discussions depuis plusieurs années. Dès 2021, Facebook fait l’objet d’une fuite de données personnelles de plusieurs millions de ses utilisateurs menant à l’ouverture d’une enquête par l’autorité irlandaise de protection des données. A la suite de l’enquête, Meta a été condamnée le 25 novembre 2022 à une amende de 265 millions d’euros pour avoir violé ses obligations de sécurisation des données (3). En mars 2022, l’autorité irlandaise avait déjà infligé une amende de 17 millions d’euros à Meta (4), qui n’avait pas pu démontrer la mise en place « de mesures techniques et organisationnelles appropriées […] pour protéger les données des utilisateurs » de l’Union européenne (UE). En parallèle, en France, la Cnil a condamné en janvier 2022 l’entreprise Meta à une amende de 60 millions d’euros en raison de l’impossibilité pour les utilisateurs de refuser simplement les cookies (5). En plus de cette amende, la Cnil avait ordonné une injonction sous astreinte de mettre à disposition des internautes français, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui pour les accepter afin de respecter le consentement de chaque utilisateur. Et par deux décisions – respectivement en date du 31 décembre 2022 concernant Facebook et Instagram pour 390 millions d’amendes (6) et du 12 janvier 2023 concernant WhatsApp pour 5,5 millions d’amende (7) –, l’autorité irlandaise a infligé à Meta ces trois amendes totalisant près de 400 millions d’euros pour manquement à plusieurs principes imposés par le RGPD (8) dont le principe de transparence et le principe de licéité des traitements de données à caractère personnel. Ces dernières décisions font suite à de nombreux débats entre les différentes autorités de contrôle européennes que sont les différentes « Cnil » dans les Vingt-sept.
En effet, dans le cadre de la procédure de consultation des autorités de contrôle concernées par l’autorité de contrôle « chef de file » mise en place par l’article 60 du RGPD, en l’occurrence la DPC dans ces procédures « Meta », les projets de décisions préparés en 2021 par l’autorité irlandaise ont été soumis aux régulateurs homologues de l’UE qui ont soulevé un certain nombre d’objections. Face à l’absence de consensus, l’autorité irlandaise a alors saisi le Comité européen de la protection des données (CEPD) – ou, en anglais, EDPB (9) – pour consultation sur les points litigieux, en vertu de l’article 65 du RGPD. Ce dernier a alors rendu trois décisions contraignantes le 5 décembre 2022 relatives aux activités de traitement de données à caractère personnel par Facebook, Instagram et WhatsApp (10). L’autorité irlandaise a alors intégré ces conclusions dans ses trois décisions – celles datées du 31 décembre 2022 à l’encontre de Facebook (210 millions euros d’amende) et d’Instagram (180 millions euros), ainsi que dans celle du 12 janvier 2023 à l’encontre de WhatsApp (5,5 millions d’euros d’amende). Dans le cadre de ses projets de décisions d’octobre 2021, l’autorité irlandaise relevait, de la part des sociétés Facebook, Instagram et WhatsApp, un manquement à leur obligation de transparence édictée par le RGPD (11). En effet, l’autorité irlandaise considère que les utilisateurs des services Meta ne disposent pas d’une clarté suffisante quant aux opérations de traitement effectuées sur les données à caractère personnel, à quelle(s) finalité(s) et quelle(s) base(s) légale(s) parmi celles identifiées à l’article 6 du RGPD.

L’absence de consensus européen
Les décisions contraignantes rendues par le CEPD le 5 décembre 2022 confirme cette position en ce qui concerne la violation par Facebook, Instagram et WhatsApp de leur obligation de transparence, sous réserve de l’insertion d’une violation supplémentaire, celle du principe de loyauté édicté par le RGPD (12). Alors que la « Cnil » irlandaise considère, dans ses projets de décisions soumis au CEPD, que le recours de Meta Ireland au contrat constituait une base juridique pour certains traitements des données personnelles, ses homologues européens ont soulevé des objections sur ce point. En cause : le rejet par la DPC de la notion de « consentement forcé », s’appuyant sur le contrat entre les utilisateurs et Meta pour légitimer les traitements concernés. Dans les cas Facebook et Instagram, la question était de savoir si la diffusion de publicité personnalisée ou comportementale constituait, ou non, un des services personnalisés inclus dans les services plus largement fournis par Facebook et Instagram au titre du contrat conclu avec ses utilisateurs.

Impact important sur les plateformes
En effet, dans l’affirmative, ce service pourrait être considéré comme licite au sens de l’article 6 du RGPD, sans nécessité de solliciter le consentement des personnes concernées – systématiquement requis pour les traitements ayant pour finalité la publicité – en se fondant sur la base juridique de « l’exécution d’un contrat auquel la personne concernée est partie ». Selon l’autorité irlandaise, ce service personnalisé fait partie intégrante du contrat conclu entre le fournisseur de services et ses utilisateurs, et a été accepté par ces derniers au moment où ils acceptent les conditions d’utilisation des services. Ainsi, le consentement de l’utilisateur au traitement serait implicitement déduit de l’acceptation d’utiliser le service Meta. Cette réalité est au coeur du modèle économique de la firme de Mark Zuckerberg, dont la rentabilité se fonde sur les revenus publicitaires nécessitant la collecte massive et la réutilisation gratuite des données personnelles de ses utilisateurs à des fins de publicité comportementale. Andrea Jelinek, présidente du CEPD, a d’ailleurs déclaré que les décisions du comité pouvaient « avoir un impact important sur d’autres plateformes qui ont des publicités comportementales au centre de leur modèle d’affaires » (13).
Dans le cas WhatsApp, l’enjeu consistait à déterminer si le fait de subordonner l’accès des services WhatsApp à l’acceptation par les utilisateurs des conditions générales mises à jour (les services ne seraient alors pas accessibles si les utilisateurs refusaient de le faire), revenait ou non à « forcer » les utilisateurs à consentir au traitement de leurs données personnelles à des fins d’amélioration et de sécurité du service. Selon le point de vue de la « Cnil » irlandaise, le service fourni par WhatsApp comprend l’amélioration du service et la sécurité, nécessaire à l’exécution du contrat conclu avec les utilisateurs, de sorte que de telles opérations de traitement étaient licites au regard de l’article 6 du RGPD. Les autres « Cnil » européennes concernées par ces traitements ont soulevé – tant pour les cas Facebook et Instagram que pour le cas WhatsApp – des objections et ont estimé que les finalités de publicité personnalisée et d’amélioration du service et de sécurité ne sont pas considérées comme nécessaires pour exécuter les éléments essentiels du contrat conclu avec les utilisateurs. Face à l’absence de consensus sur ces points, le CEPD a par conséquent été consulté par l’autorité irlandaise, dans le cadre de la procédure issue de l’article 65 du RGPD, afin qu’il tranche sur les questions litigieuses.
Dans ses décisions rendues le 5 décembre 2022, le CEPD adopte, sur le fondement de l’article 6 du RGPD, la position selon laquelle Meta Ireland ne peut par principe invoquer le contrat comme constituant une base juridique pour traiter les données à caractère personnel à des fins de publicité comportementale (cas Facebook et Instagram) et d’amélioration et de sécurité. Le CEPD se distingue alors des autorités européennes qui soulevaient qu’un tel traitement ne satisfait pas à la condition de nécessité (en d’autres termes, la publicité personnalisée n’est pas nécessaire à l’exécution d’un contrat avec les utilisateurs de Facebook et Instagram), et rend des décisions de principe par application stricto sensu du RGPD.
Reflet du pouvoir contraignant du CEPD, l’autorité irlandaise a donc intégré cette solution dans les deux décisions rendues le 31 décembre 2022 à l’encontre de Facebook et Instagram. Il est exigé une mise en conformité avec le RGPD dans un délai de trois mois à compter de la décision – autrement dit d’ici au 31 mars prochain. De même, le 12 janvier 2023, l’autorité irlandaise a accueilli cette solution dans sa décision à l’encontre de WhatsApp, en lui ordonnant de se mettre en conformité dans un délai de six mois – soit d’ici le 12 juillet prochain.
A l’heure où il est indéniable que la donnée est le nouvel « or noir » du XXIe siècle, les entreprises doivent adopter des méthodes et techniques, et ce dès la conception de leur modèle économique, afin de protéger convenablement les données personnelles, comme l’exige le RGPD. Il apparaît désormais vital pour les entreprises d’anticiper les implications de leur conformité dès la conception de leurs projets impliquant des traitements de données personnelles (« Privacy by Design »).

Les internautes reprennent la main
On constate aujourd’hui que les internautes, surtout ceux résidant dans l’UE, cherchent, dans le cadre d’une approche « Privacy First », à utiliser des services respectueux de leur vie privée et prennent en compte la question de la protection des données personnelles les concernant comme condition à l’utilisation de tels services. Les entreprises traitant massivement les données personnelles, et notamment les GAFAM, se trouvent alors confrontées à cette problématique qui tend à modifier considérablement leur modèle économique. Il est aujourd’hui indispensable de se demander de quelle manière et à quel moment il est opportun d’appréhender la question de la protection de la donnée. @

Le marché unique a 30 ans, pas celui du numérique

En fait. Le 1er janvier 2023, le marché unique européen a eu 30 ans. Il comprend 27 Etats membres depuis le Brexit de janvier 2020 – contre 12 lors de sa création en 1993. Internet alors embryonnaire n’était connu que des centres de recherche et des universités. Le « Digital Single Market », lui, émerge en 2015.

En clair. Si le marché unique européen a 30 ans au 1er janvier 2023, il n’en va pas de même pour le marché unique numérique qui est fixé comme objectif en 2015 seulement. Neelie Kroes, auparavant commissaire européenne en charge de l’« Agenda numérique » (2010-2014) en avait rêvé (1) ; la Commission Juncker (2014-2019) en a fait une stratégie pour l’Union européenne. Avant elle, la Commission Barroso (2004-2014) avait bien commencé à poser des jalons d’un « marché unique pour les contenus et les services en ligne » (2), tâche confiée à Neelie Kroes justement (ex-commissaire à la Concurrence), mais il faudra encore attendre pour que le spectre s’élargisse.
C’est seulement le 6 mai 2015 que Jean-Claude Juncker, président de la Commission européenne, lance la stratégie « marché unique numérique pour l’Europe » (3) afin de « casser les silos nationaux dans la régulation télécoms, le droit d’auteur et la protection des données ». Mission sensible confiée alors au duo Andrus Ansip-Günther Oettinger (4), le premier en charge du Marché unique numérique et le second à l’Economie numérique et à la Société. Objectif : déverrouiller les marchés et abolir les frontières. En voulant « briser les barrières nationales en matière de réglementation (…) du droit d’auteur » (licences multi-territoriales, géo-blocage, chronologie des médias, copie privée, exceptions au droit d’auteur, …), Jean-Claude Juncker va faire sortir de ses gonds les industries culturelles redoutant la fin de « l’exception culturelle ». Le Parlement européen, qui avait adopté dès avril 2012 une résolution « sur un marché unique du numérique concurrentiel » (5), puis une seconde en juillet 2013, accueille favorablement le Digital Single Market de Juncker par une troisième en janvier 2016. Des avancées majeures suivront : fin du géo-blocage injustifié, fin des frais d’itinérance mobile, fin des surcoûts de portabilité transfrontalière des contenus en ligne, fin des violations envers la neutralité d’Internet, fin des restrictions à la libre circulation des données, …
La directive sur les « services de médias audiovisuels » à la demande (SMAd) sera adoptée en novembre 2018, celle sur « le droit d’auteur dans le marché unique numérique » en avril 2019, ou encore, sous l’actuelle Commission von der Leyen, les règlements DSA (Digital Services Act) et DMA (Digital Markets Act) adoptés en 2022. @

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.

La Chine est le premier pays à s’attaquer aux « deepfake », ces contenus hyper-truqués à l’IA

Depuis le 10 janvier 2023, en Chine, le règlement « Deep Synthesis Provisions » est entré en vigueur pour réguler voire interdire les « deepfake » créés à l’aide de l’intelligence artificielle en détournant textes, images audios et/ou vidéos. Ces créations hyperréalistes prennent de l’ampleur.

Le président ukrainien Volodymyr Zelensky a expliqué l’an dernier dans une vidéo qu’il avait capitulé face aux russes et qu’il appelait les soldats de son pays à déposer les armes (1). L’acteur américain Morgan Freeman s’est exprimé en 2021 sur la chaîne YouTube néerlandaise Diep Nep pour dire : « Je ne suis pas Morgan Freeman. Ce que vous voyez n’est pas réel » (2). Car ces vidéos et de nombreuses autres postées sur les réseaux sociaux – lorsque ce ne sont pas des textes, des images ou des podcasts – sont des « deepfake », des contenus entièrement manipulés et détournés à l’aide de l’intelligence artificielle (IA) et l’apprentissage machine (AM).

La Chine devance les USA et l’UE
Le résultat est vraisemblable et bluffant. L’année 2023 pourrait être celle de l’explosion de ces vidéos truquées hyperréalistes. Les Etats-Unis ont commencé à légiférer par endroits (Californie, New York, Virginie, Texas) contre les abus des deepfakes – nom composé de deep learning et de fake news. Le Parlement européen devrait bientôt examiner en séance publique la proposition de règlement « Artificial Intelligence Act » (3) mise sur les rails il y a vingt mois (4). Mais c’est la Chine qui vient de devancer l’Occident en faisant entrer en vigueur le 10 janvier 2023 un règlement applicable à l’ensemble de l’Empire du Milieu.
Le texte composé de 25 articles est surnommé le « Deep Synthesis Provisions » (5) et s’applique désormais à toute la filière des fournisseurs de « synthèse profonde » (deepfake). Son entrée en vigueur est l’aboutissement d’un processus qui avait commencé après un discours du président Xi Jinping (photo) devant le Politburo en octobre 2021 où il mettait en garde contre « les symptômes malsains et incontrôlés » de l’économie numérique. C’est le Cyberespace Administration of China (CAC), en cheville avec les ministères de l’Industrie et des Technologies de l’information (MIIT) et de la Sécurité publique (MPS), qui a été à la manoeuvre. Le CAC a été chargé d’élaborer ce règlement « Deep Synthesis Provisions », dont la première version a été publiée il y a un an (fin janvier 2022) à l’occasion d’une consultation publique d’un mois. La version finale a été publiée fin novembre dernier. « Les services qui offrent un dialogue intelligent, des voix synthétisées, la génération de visages, des scénarios de simulation immersive, etc., pour générer ou modifier considérablement la fonction du contenu d’information, devraient être marqués de façon significative pour éviter la confusion ou l’identification erronée du public. », explique le CAC dans un communiqué du 11 décembre (6). La Chine définit la technologie de synthèse profonde comme celle qui utilise l’apprentissage profond (deep learning), la réalité virtuelle et d’autres algorithmes synthétiques pour produire du texte, des images, de l’audio, de la vidéo, des scènes virtuelles ou en 3D, et d’autres informations réseau. Les fournisseurs de services de synthèse approfondie sont tenus de désigner les entreprises qui offrent des services, logiciels et supports techniques. La responsabilité incombe aux prestataires de services de synthèse profonde en matière de sécurité des données et de protection des informations personnelles, de transparence (notamment en établissant des lignes directrices, des critères et des processus pour reconnaître les informations fausses ou préjudiciables), et de gestion de contenu et étiquetage (étiquettes ou logos).
Les dispositions du règlement « Deep Synthesis Provisions » s’appuient sur un règlement « Online Audio and Video Information Services » (7) de 2019 qui interdit sur Internet l’utilisation de photos, d’audios et de vidéos générés par ordinateur pour produire ou diffuser des fausses nouvelles. Mais comme dans le reste du monde, il sera difficile de faire la part des choses, entre fake news et parodie. La censure chinoise ajoute une corde à son arc.
Quoi qu’il en soit, Pékin prend très au sérieux la menace des deepfakes, y compris des algorithmes (8), à l’heure où la bataille commerciale exacerbée avec Washington fait rage sur fond de guerre en Ukraine déclenchée par sa voisine et amie la Russie.

La notion de « contenus illicites » du DSA
En attendant l’adoption du règlement « Artificial Intelligence Act », l’Europe s’est dotée du Digital Services Act (DSA) qui entre en vigueur en 2023. Il prévoit notamment que les plateformes numériques « lutte[nt] contre la diffusion de contenus illicites en ligne et contre les risques, pour la société, de diffusion d’informations trompeuses » (considérant 9), la notion (vague ?) de « contenus illicites » étant mentionnée dans au moins huit articles du DSA (9) – mais sans qu’il y soit question explicitement de deepfake. Avec son « Deep Synthesis Provisions », la Chine a pris de l’avance et pourrait être suivie par d’autres pays autoritaires. @

Charles de Laubier

La pression augmente sur la taxe de 30 % d’Apple

En fait. Le 28 novembre, Elon Musk s’en est pris à Apple soupçonné de « déteste[er] la liberté d’expression » (en ne faisant plus de pub sur Twitter) et ayant « menacé de retirer Twitter de son App Store » (sans dire pourquoi). Et comme Spotify et Epic Games, Twitter fustige les 30 % de « taxe » prélevés par Apple.

En clair. Le PDG d’Apple, Tim Cook, fait toujours la sourdeoreille en ne répondant pas aux tweets du nouveau propriétaire de Twitter, Elon Musk, qui l’a interpelé à plusieurs reprises sur les pratiques de la marque à la pomme. « Apple a pratiquement cessé de faire de la publicité sur Twitter. Détestent-ils la liberté d’expression en Amérique ? », a tweeté le milliardaire Elon Musk le 28 novembre (1), en insistant : « Qu’est-ce qui se passe ici @tim_cook » ?
Moins d’une heure après, l’hyper-twittos aux 119,6 millions de followers lançait un autre grief à l’encontre de la firme de Cupertino : « Apple a également menacé de retirer Twitter de son App Store, mais ne nous dira pas pourquoi » (2). Aussitôt après, il s’en est pris à la commission controversée de 30% qu’Apple prélève sur les transactions (au-delà de 1million de dollars par an réalisé par l’éditeur sur l’App Store, sinon à partir de 15 %) : « Saviez-vous qu’Apple impose une taxe secrète [sic] de 30 % sur tout ce que vous achetez via son App Store ? » (3). Elon Musk a aussi partagé un mème – supprimé depuis, mais capturé ici (4) – avec une bretelle d’autoroute : soit tout droit pour « Payer 30 % » (à Apple), soit à droite pour « Partir en guerre », la voiture « Elon » bifurquant au dernier moment pour… « Go to war » ! Ce n’est pas la première fois qu’Elon Musk fustige les 30 % que s’arroge Apple sur les transactions de l’App Store, pratique devenue la norme dans le monde des appli, Play Store de Google compris. « Le magasin d’Apple, c’est comme avoir une taxe de 30 % sur Internet. Certainement pas d’accord », a déjà critiqué Elon Musk dans un tweet daté du 3 mai (5). Mais son aversion pour cette « app tax » de 30 %, le patron de Tesla et de SpaceX l’avait exprimée dès le 30 juillet 2021 en pleine attaque de l’éditeur de jeux vidéo Epic Games (« Fortnite ») contre les abus de position dominante d’Apple. « Les frais de l’App Store d’Apple sont de facto une taxe mondiale sur Internet. Epic a raison », avait alors twitté Elon Musk (6). La première fortune mondiale rejoint aussi la cause d’un autre mécontent d’Apple : la plateforme suédoise de streaming musical Spotify (7).
La FTC aux Etats-Unis et la Commission européenne en Europe instruisent des plaintes contre Apple. La « guerre » d’Elon Musk contre Tim Cook ne fait que commencer et pourrait s’étendre à l’avenir à la voiture autonome : Tesla contre… l’Apple Car. @