Archives par mot-clé : Europe

Le Digital Services Act (DSA) présente un vrai risque pour la liberté d’expression des Européens

Publié le par

Les 19 très grandes plateformes Internet en Europe avaient quatre mois, après avoir été désignées comme telles le 25 avril 2023 par la Commission européenne, pour se mettre en règle avec la législation sur les services numériques (DSA). La liberté d’expression sera-t-elle la victime collatérale ?

La liberté d’expression risque gros en Europe depuis le 25 août 2023, date à laquelle les 19 très grandes plateformes numériques – Alibaba, AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando, Bing, et Google Search – doivent appliquer à la lettre le Digital Services Act (DSA), sous peine d’être sanctionnées financièrement jusqu’à 6 % de leur chiffre d’affaires mondial.

« Définition large » des « contenus illicites »
Cette épée de Damoclès suspendue au-dessus de la tête de ces 19 géants du Net, dépassant chacun plus de 45 millions d’utilisateurs actifs par mois (soit l’équivalent de 10 % de la population de l’Union européenne), pourrait les pousser à faire de l’excès de zèle. Et ce, pour ne pas prendre le risque d’être hors des clous du DSA et de se voir infliger une sanction pécuniaire. Entre leur désignation le 25 avril 2023 comme « Very large Online Platforms » (VLOP) par la Commission « von der Leyen » (photo) et leur mise en conformité avec la législation sur les services numériques, les dix-sept très grandes plateformes et les deux grands moteurs de recherche avaient un délai de quatre mois pour se préparer.
Depuis le 25 août 2023, soit moins d’un an après la publication du règlement au Journal officiel de l’Union européenne (1), le « Big 19 » est censé agir comme un seul homme pour réguler en Europe une grande partie de l’Internet relevant de leurs activités (2). Le DSA les oblige désormais à lutter contre « la diffusion de contenus illicites en ligne et contre les risques pour la société que la diffusion d’informations trompeuses ou d’autres contenus peuvent produire ». Vaste et flou à la fois. Le règlement européen donne en effet à la notion de « contenus illicites » une « définition large » (3). Elle couvre ainsi « les informations relatives aux contenus, produits, services et activités illégaux » ainsi que « des informations, quelle que soit leur forme, qui, en vertu du droit applicable, sont soit ellesmêmes illicites, comme les discours haineux illégaux ou les contenus à caractère terroriste et les contenus discriminatoires illégaux, soit rendues illicites par les règles applicables en raison du fait qu’elles se rapportent à des activités illégales ». Et le DSA de donner des exemples d’« activités illégales » : partage d’images représentant des abus sexuels commis sur des enfants, partage illégal d’images privées sans consentement, harcèlement en ligne, vente de produits non conformes ou contrefaits, vente de produits ou de la fourniture de services en violation du droit en matière de protection des consommateurs, utilisation non autorisée de matériel protégé par le droit d’auteur, offre illégale de services de logement ou vente illégale d’animaux vivants. « En revanche, précise néanmoins le DSA, la vidéo d’un témoin oculaire d’une infraction pénale potentielle ne devrait pas être considérée comme constituant un contenu illicite simplement parce qu’elle met en scène un acte illégal, lorsque l’enregistrement ou la diffusion au public d’une telle vidéo n’est pas illégal ». Pour lutter contre les contenus illicites, et ils sont nombreux, les grandes plateformes du Net doivent assurer – elles-mêmes ou par un intermédiaire, de façon automatisées ou pas – une « modération des contenus », à savoir : « détecter et identifier les contenus illicites ou les informations incompatibles avec leurs conditions générales », « lutter contre ces contenus ou ces informations, y compris les mesures prises qui ont une incidence sur la disponibilité, la visibilité et l’accessibilité de ces contenus ou ces informations ». La modération de contenus illicites peut consister en leur « rétrogradation », leur « démonétisation », leur « accès impossible » ou leur « retrait », voire en procédant à « la suppression ou la suspension du compte d’un destinataire » (4).
Toutes ces restrictions possibles doivent être stipulées dans les conditions générales d’utilisation de la grande plateforme numérique, renseignements comprenant « des informations sur les politiques, procédures, mesures et outils utilisés à des fins de modération des contenus, y compris la prise de décision fondée sur des algorithmes et le réexamen par un être humain » (5).

Responsabilité limitée et injonctions
Si le DSA conserve le cadre de l’« exemption de responsabilité » des « fournisseurs de services intermédiaires » (statut d’hébergeur) telle qu’édictée par la directive européenne « E-commerce » de 2000 (6), cette « sécurité juridique » tombe dès lors que la plateforme numérique « a effectivement connaissance ou conscience d’une activité illégale ou d’un contenu illicite », et qu’elle doit de ce fait « agir rapidement pour retirer ce contenu ou rendre l’accès à ce contenu impossible » (7). Les exemptions de responsabilité sont réaffirmées par le DSA, lequel précise bien qu’elles n’empêchent pas de pouvoir aussi « procéder à des injonctions de différents types à l’encontre des fournisseurs de services intermédiaires », ces injonctions pouvant émaner « de juridictions ou d’autorités administratives » pour exiger « qu’il soit mis fin à toute infraction ou que l’on prévienne toute infraction, y compris en retirant les contenus illicites spécifiés dans ces injonctions, ou en rendant impossible l’accès à ces contenus » (8). C’est en cela que le DSA modifie la fameuse directive « E-commerce ».

La liberté d’expression menacée
Les Européens risquent-ils d’être les grands perdants en termes de liberté d’expression sur Internet ? Garantis par la Charte des droits fondamentaux de l’Union européenne (9), la liberté d’expression et d’information, la liberté d’entreprise, le droit à la non-discrimination et la garantie d’un niveau élevé de protection des consommateurs le sont aussi par le DSA qui y fait référence à de nombreuses reprises (10). « Les fournisseurs de très grandes plateformes en ligne devraient, par exemple, en particulier, tenir dûment compte de la liberté d’expression et d’information, notamment la liberté et le pluralisme des médias », stipule notamment le DSA (11). « Toute mesure prise par un fournisseur de services d’hébergement à la suite de la réception d’une notification devrait être strictement ciblée [sur le contenu illicite, ndlr], sans porter indûment atteinte à la liberté d’expression et d’information des destinataires du service », est-il ajouté (12).
Les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne sont tenus d’« éviter des restrictions inutiles à l’utilisation de leur service, compte devant dûment être tenu des effets négatifs potentiels sur les droits fondamentaux » et « accorder une attention particulière aux répercussions sur la liberté d’expression » (13). Le règlement sur les services numériques, dans son article 14, oblige donc les plateformes à « [tenir] compte des droits et des intérêts légitimes de toutes les parties impliquées, et notamment des droits fondamentaux des destinataires du service, tels que la liberté d’expression, la liberté et le pluralisme des médias et d’autres libertés et droits fondamentaux ». Et dans son article 34, le DSA oblige les grands acteurs du Net à recenser, analyser et évaluer de manière diligente « tout risque systémique », notamment « tout effet négatif réel ou prévisible pour l’exercice des droits fondamentaux » : non seulement liberté d’expression et d’information, y compris liberté et le pluralisme des médias, mais aussi dignité humaine, respect de la vie privée et familiale, protection des données à caractère personnel, non-discrimination, droits de l’enfant, et protection des consommateurs (14). Pour parer au pire, il est prévu à l’article 48 que la Commission européenne – assistée par un Comité pour les services numériques (Digital Services Committee) – « s’efforce de garantir que les protocoles de crise établissent clairement », entre autres, « les mesures de sauvegarde contre les effets négatifs éventuels sur l’exercice des droits fondamentaux consacrés dans la Charte [des droits fondamentaux de l’Union européenne], en particulier la liberté d’expression et d’information et le droit à la non-discrimination » (15). A la question « Comment comptez-vous maintenir un juste équilibre avec les droits fondamentaux tels que la liberté d’expression ? », la Commission européenne avait répondu, dans un Q&A du 25 avril dernier : « Le règlement sur les services numériques donne aux utilisateurs la possibilité de contester les décisions de suppression de leurs contenus prises par les plateformes en ligne, y compris lorsque ces décisions s’appuient sur les conditions générales des plateformes. Les utilisateurs peuvent introduire une plainte directement auprès de la plateforme, choisir un organisme de règlement extrajudiciaire des litiges ou demander réparation devant les tribunaux ».
Au plus tard le 17 novembre 2025, la Commission européenne évalue notamment « l’incidence sur le respect du droit à la liberté d’expression et d’information » (16) et remet un rapport à ce sujet au Parlement européen, au Conseil de l’Union européenne et au Comité économique et social. L’avenir nous dira si le DSA est une arme à double tranchant pour la liberté d’expression et la démocratie en Europe. Tandis que pour le Digital Markets Act (DMA), cette fois, sept géants du Net – Alphabet (Google/ YouTube), Amazon, Meta (Facebook/ Instagram), Apple, Microsoft, Samsung et ByteDance (TikTok) – vont être le 6 septembre désignés officiellement par la Commission européenne (17) comme des « gatekeepers » (contrôleurs d’accès) soumis à des règles de concurrence renforcées.

Des garde-fous contre la censure ?
Lorsque le commissaire européen au Marché intérieur, Thierry Breton (photo ci-dessus), a lancé le 10 juillet 2023 sur Franceinfo que « lorsqu’il y aura des contenus haineux, des contenus qui appellent par exemple à la révolte, qui appellent également à tuer ou à brûler des voitures, [ces plateformes] auront l’obligation dans l’instant de les effacer » (18). Et en prévenant :« Si elles ne le font pas, elles seront immédiatement sanctionnées (…) non seule-ment donner une amende mais interdire l’exploitation sur notre territoire ». Ses propos ont aussitôt soulevé une vague d’inquiétudes sur les risques de censures. Il a dû revenir sur Franceinfo le 25 août (19) pour tenter de rassurer à propos du DSA : « C’est la garantie de nos libertés, c’est tout sauf le ministère de la censure ». @

Charles de Laubier

Les majors Universal Music, Sony Music et Warner Music négocient avec les éditeurs d’IA musicales

Publié le par

Google et sa filiale YouTube négocient avec Universal Music l’autorisation d’utiliser pour son IA musical, MusicML, les données de la première « maison de disques ». Les autres majors, Warner Music et Sony Music, devront aussi trouver des accords. C’est plus une opportunité qu’une menace.

Le 21 août, YouTube a annoncé un accord avec Universal Music autour de l’IA musicale. Le Financial Times avait par ailleurs révélé le 9 août que sa maison mère Google et la première major mondiale de la musique enregistrée étaient en pourparlers pour autoriser que les mélodies et les voix des artistes soient exploitées par l’intelligence artificielle MusicLM (développée par Google) afin que celle-ci puisse créer de nouvelles chansons. Si ces négociations devaient aboutir, un accord de ce type serait une première pour l’industrie musicale qui, jusqu’à maintenant, voient plus ces IA génératives de musiques comme une menace pour elle.

Accords avec Google et YouTube
Quel est l’impact de l’IA générative sur l’industrie musicale ? « Imaginez que quelqu’un vole tout ce qui a de la valeur à une entreprise et l’utilise pour lancer une entreprise pour lui faire concurrence. C’est exactement ce qui se passe avec beaucoup de grands modèles d’IA d’apprentissage automatique qui existent aujourd’hui. Il s’agit d’une concurrence déloyale classique. (…) Il y a un besoin urgent de “code de la route” approprié pour l’IA générative et nous vous encourageons à agir de manière décisive et sans délai », a déclaré le 12 juillet dernier Jeffrey Harleston (photo), directeur juridique et vice-président exécutif pour les affaires commerciales et juridiques d’Universal Music. Il était auditionné au Sénat américain par le sous-comité de la commission judiciaire du Sénat, sur le thème de « l’intelligence artificielle et la propriété intellectuelle » (1).
Que vous disent les artistes au sujet de leurs voix et de la musique utilisées sans leur consentement par des IA musicales ? « Les artistes sont naturellement bouleversés que leur nom, image, ressemblance ou voix soient volés et utilisés pour suggérer qu’ils ont dit, chanté, ou fait quelque chose qu’ils n’ont jamais fait, a-t-il répondu aux sénateurs qui l’auditionnaient. C’est une violation horrible de la vie privée, et comme cela pourrait nuire à la réputation de l’artiste, cela pourrait irrémédiablement nuire à leur carrière. La voix et la personnalité d’un artiste sont leur gagne-pain et les voler – peu importe le moyen – est mal ». Il a appelé les Etats-Unis à procéder à des modifications législatives pour assurer un développement éthique de l’IA, notamment musicale. Le directeur juridique d’Universal Music avance trois points pour une future « loi pérenne sur le droit d’auteur afin de s’assurer qu’elle résiste à une IA en constante évolution technologie » : édicter une loi fédérale sur le droit de publicité [ou droit à l’image, ndlr] pour assurer la protection de la propriété intellectuelle d’un nom, d’une image, d’une ressemblance ou d’une voix ; assurer la transparence des éléments d’apprentissage de l’IA et permettre au titulaire du droit de pouvoir consulter les enregistrements détaillés des entrées d’apprentissage, sans avoir à s’engager dans un litige ; exiger l’étiquetage des oeuvres essentiellement générées par l’IA. Mais sans attendre que le Congrès américain s’empare du sujet, Universal Music cherche à trouver un terrain d’entente avec les éditeurs d’IA générative, tout du moins avec Google qui l’a approché.
La filiale d’Alphabet est aussi entrée en contact avec Warner Music. Il ne resterait plus qu’à discuter avec Sony Music pour faire le tour des trois grandes majors de la musique enregistrée. Rappelons qu’en septembre 2016, le laboratoire Sony CSL (2) avec fait sensation sur YouTube en diffusant une « nouvelle musique » des Beatles baptisée « Daddy’s Car » (3) et créée par l’IA Flow Machines du japonais (4), les Beatles faisant partie du répertoire… d’Universal Music. La n°1 des majors – au siège social situé aux Pays-Bas mais ayant son siège opérationnel basé à Santa Monica en Californie – adhère en outre aux sept principes édictés par le groupe Human Artistry Campaign (5) lancé en début d’année. Il s’agit de défendre les droits des créateurs dans le développement des technologies d’IA.
Pour l’heure, Alphabet avance à grand pas dans la musique générée par l’intelligence artificielle : tant du côté de Google qui a présenté le 26 janvier sa propre IA musicale baptisée MusicLM (6) que du côté de YouTube qui a lancé le 21 août un incubateur d’IA musicale avec des artistes, des auteurscompositeurs et des producteurs d’Universal Music (7).

MusicLM (Google), une IA hi-fi
Google présente MusicLM comme « un modèle générant une musique haute-fidélité à partir de descriptions textuelles ou d’une mélodie fredonnées ». Cette IA génère de la musique à 24 kHz qui reste cohérente sur plusieurs minutes. Et la filiale d’Alphabet d’affirmer : « Nos expériences montrent que MusicLM surpasse les systèmes précédents en termes de qualité audio et d’adhésion à la description du texte » (8). Mais cette IA musicale prometteuse n’a pas encore été rendue accessible au grand public, le géant du Net ayant la prudence de demander l’autorisation des plus grandes maisons de disques pour ne pas être accusé de contrefaçon et de spoliation des artistes. Seuls de nombreux exemples de bandes sonores générées par MusicML ont été mis en ligne.

Meta se met en trois avec Audiocraft
Google n’est pas le seul à s’aventurer sur le terrain du « text-to-music » puisque Meta a mis en logiciel libre (open source) son modèle de langage capable de générer des extraits musicaux, MusicGen. Meta (ex-groupe Facebook), qui avait présenté mi-juin dernier MusicGen comme étant légèrement supérieures à MusicLM en termes de performances, a présenté le 3 août sa panoplie IA appelée Audiocraft, composée non seulement de MusicGen, mais aussi d’AudioGen et d’EnCodec. « MusicGen, qui a été formé avec de la musique appartenant à Meta et spécifiquement sous licence, génère de la musique à partir d’entrées utilisateur textuelles, tandis qu’AudioGen, qui a été formé aux effets sonores publics, génère de l’audio à partir d’entrées utilisateur textuelles. Aujourd’hui, nous sommes ravis de publier une version améliorée de notre décodeur EnCodec, qui permet une génération de musique de meilleure qualité avec moins d’artefacts », explique Meta dans sa présentation. Les trois modèles de la suite Audiocraft sont disponibles à des fins de recherche, destinés aux chercheurs et aux praticiens. Cette ouverture devrait accélérer le développement de l’IA générative pour l’audio, lequel a pris du retard par rapport aux IA générative pour les images, la vidéo et le texte (ChatGPT, Midjourney, Bard, Dall·E 2, LLaMA, Stability AI, …). « Générer de l’audio hautefidélité de toute sorte nécessite la modélisation de signaux et de motifs complexes à différentes échelles. La musique est sans doute le type d’audio le plus difficile à générer car elle est composée de modèles locaux et de longue portée, d’une suite de notes à une structure musicale globale avec plusieurs instruments », fait remarquer la firme de Mark Zuckerberg (9).
Mais le tout-en-un proposé en open source par AudioCraft, pour la musique, le son, la compression et la génération, vise à faciliter l’innovation et la créativité musicales (composition, chanson, bande sonore, …), sans avoir à jouer une seule note sur un instrument. Meta estime même que « MusicGen peut se transformer en un nouveau type d’instrument – tout comme les synthétiseurs lors de leur apparition » (10). MusicGen a été formé sur environ 400.000 enregistrements avec descriptions textuelles et métadonnées, ce qui représente 20.000 heures de musique appartenant à Meta ou sous accords de licence. Pour l’heure, Meta ne fait état d’aucune négociation avec l’industrie musicale et encore moins avec les majors avec lesquels Google a, au contraire, pris langue. « Si vous voyez un exemple de musique UMG [Universal Music Group, ndlr] distribuée illégalement, n’hésitez pas à nous contacter à contentprotection@umusic.com », signale sur son site web (11) la première major dirigée par Lucian Grainge (photo ci-contre). C’est ce qu’on dû peut-être faire les deux artistes Drake et The Weeknd, produits par Universal Music, lorsqu’ils ont constaté en avril dernier qu’un « artiste » surnommé « Ghostwriter » (compositeur fantôme) a mis en ligne une musique avec voix s’inspirant de leur style musical. Les fichiers audio et vidéo de ce morceau de 2 minutes et 14 secondes ont été diffusés avec succès sur plusieurs plateformes de streaming musical (Spotify, YouTube/YouTube Music, Apple Music, TikTok, …), avant d’en être retirés après quelques jours. Un spécialiste américain estime que le morceau pourrait avoir été créé et promu à des fins de marketing viral par une start-up californienne Laylo (12), laquelle travaille avec des artistes musicaux et compte parmi ses investisseurs… Sony Music. Bien d’autres artistes musicaux ont été imités par des IA génératives à tendance mélomane. La chanteuse barbadienne Rihanna (signée elle aussi chez UMG) s’est par exemple étonnée au printemps de s’entendre chanter « Cuff It » de Beyoncé, via une « IA Rihanna » (13).
Le rappeur Ye (ex-Kanye West, ayant son propre label Good Music) n’a pas non plus été épargné par la déferlante IA musicale, avec les musiques « Hey There Delilah » de Plain White T’s et « Passionfruit » de Drake. Angèle, elle, s’est vue en août chanter en duo avec Gazo (14) sans son consentement. Les IA musicales Flow Machines, MusicGen, AudioGen, MusicLM, Riffusion ou encore Mubert n’ont pas fini de surprendre. Jeffrey Harleston compte sur les Etats-Unis pour résorber leur retard dans la réglementation de l’IA générative.

Les Etats-Unis derrière la Chine et l’UE
A la suite des auditions de cet été, le Congrès américain devrait légiférer sur l’IA d’ici la fin de l’année. A l’instar de la Chine (15), l’Union européenne (UE) a pris de l’avance dans l’élaboration de son « AI Act » qui est entré mi-juin en phase de discussion législative entre le Parlement européen et le Conseil de l’UE. « Les systèmes d’IA générative comme ChatGPT doivent mentionner que le contenu a été généré par une IA. (…) Des résumés détaillés des données protégées par le droit d’auteur utilisées pour la formation des IA devront également être rendus publics », prévoit le projet de règlement européen sur l’IA (16). Les IA génératives vont devoir s’accorder. @

Charles de Laubier

Après les communs numériques et les télécoms, la CSNP va réfléchir aux « réseaux du XXIe siècle »

Publié le par

La Commission supérieure du numérique et des postes (CSNP), instance parlementaire en cheville avec Bercy, rendra en septembre, d’une part, des préconisations sur « les communs numériques », et, d’autre part, des conclusions sur « les télécoms ». Prochaines réflexions : « les réseaux du XXIe siècle ».

Lors des 17es Assises du Très haut débit, organisées le 6 juillet à Paris, Mireille Clapot (photo), députée et présidente de la Commission supérieure du numérique et des postes (CSNP), a fait état des travaux en cours de finalisation : des préconisations « vont être rendues prochainement » sur les communs numériques, dans le cadre d’une étude pilotée par Jeanne Bretécher, personnalité qualifiée auprès de la CSNP ; des conclusions « seront remises en septembre » sur les télécoms par le député Xavier Batut dans le cadre d’un avis de la CSNP.

Services d’intérêt économique général
Selon les informations de Edition Multimédi@, les préconisations sur les communs numériques, qui devaient être dévoilées en juillet, ont été décalées à septembre – « le temps de les valider avec toutes les parties prenantes », nous indique Jeanne Bretécher. Et Mireille Clapot envisage déjà la suite : « Lorsque ces travaux seront finis, je suggère que nous réfléchissions à l’étape d’après : les réseaux du XXIe siècle ». Sur les communs numériques, la CSNP adressera ses recommandations aux pouvoirs publics à la lumière de la toute première conférence qu’elle a organisée le 31 mai sur ce thème mal connu du grand public. Définition : « Les communs numériques sont des outils numériques produits par leurs communautés selon des règles qu’elles se fixent elles-mêmes. Les communs numériques s’appuient sur l’intelligence collective, la transparence, le partage des connaissances, pour se développer en opposition aux stratégies d’enfermement et de captation des données mises en place par les géants de la tech et certains Etats ».
Au-delà des communs numériques les plus célèbres tels que Wikipedia, Linux, OpenStreetMap, Github, l’open-source (logiciel libre), les wikis ou encore les General Public License (GPL), les communs numériques se développent grâce à la collaboration internationale. Des initiatives publiques existent aussi comme l’Open Source Software Strategy (Commission européenne), GovStack (Allemagne, Lettonie et l’UIT), Digital Public Goods (Nations Unies), ou Société Numérique (France (1)). « Les communs numériques sont de formidables moteurs d’innovation, de transparence et de souveraineté. (…) Ils permettent de décentraliser les systèmes, lutter contre les cyberattaques et renforcer l’accès des citoyens aux données publiques », a souligné Mireille Clapot. Les communs numériques d’aujourd’hui sont nés avec les pionniers du Web, le World Wide Web créé en 1989 étant un commun historique de liens hypertextes donnant accès gratuitement à une mine d’informations. La gratuité sur Internet s’est d’ailleurs vite confrontée à ce que certains appellent « la tragédie des communs », à savoir que cette gratuité promise par le numérique s’arrête là où la marchandisation, le droit d’auteur (2) ou encore les développements propriétaires commencent. Le CNSP s’inspire des quatre propositions-clés formulées par un rapport européen initié par l’Ambassadeur pour le numérique, Henri Verdier, et rendu en juin 2022 à l’occasion de l’Assemblée numérique organisée lors de la présidence française du Conseil de l’Union européenne.
Ce rapport intitulé « Vers une infrastructure numérique souveraine des biens communs » (3) et élaboré par dix-neuf Etats européens, dont la France (4), préconise : la création d’un guichet unique européen pour orienter les communautés vers les financements et aides publiques adéquats ; le lancement d’un appel à projet pour déployer rapidement une aide financière aux communs les plus stratégiques ; la création d’une fondation européenne pour les communs numériques, avec une gouvernance partagée entre les États, la Commission européenne et les communautés des communs numériques ; la mise en place du principe « communs numériques par défaut » dans le développement des outils numériques des administrations publiques. « Cependant, sans changement culturel sur la compréhension de la valeur ajoutée des communs, leur durabilité est menacée par un manque d’utilisation et de contribution », ont alerté les auteurs du rapport qui font référence à la Déclaration européenne sur les droits et principes numériques (5). La CSNP pourrait aller plus loin en préconisant, nous indique Jeanne Bretécher, d’inscrire les communs (notamment numériques) dans le concept européen de « services d’intérêt économique général » (SIEG) en vue de bénéficier d’aides publiques.

Commun numérique et réseau commun ?
Concernant cette fois l’avis sur les télécoms attendu aussi en septembre, le CSNP indique à Edition Multimédi@ qu’il n’évoquera pas les communs numériques. Ce que certains pourront regretter. Les conclusions du député Xavier Batut porteront sur le rôle de l’Arcep – dont l’ancien président Sébastien Soriano prônait les communs numériques dans les télécoms (6) –, la mutualisation, la péréquation ou encore l’Ifer (7). Nous y reviendrons. @

Charles de Laubier

Commission européenne : Margrethe Vestager part

Publié le par

En fait. Le 20 juillet, cela a fait un mois que Margrethe Vestager, la commissaire européenne chargée de la concurrence depuis 2014 ainsi que du numérique depuis 2019, a annoncé sa candidature à la présidence de la Banque européenne d’investissement (BEI), laquelle dévoilera les candidats en août.

En clair. Pour la Commission « von der Leyen », c’est le début de la fin. Son mandat a débuté en décembre 2019, succédant à la Commission « Juncker » (1), et se terminera en novembre 2024. Margrethe Vestager, troisième vice-présidente de la Commission européenne « pour une Europe préparée à l’ère numérique » et en charge de la concurrence depuis novembre 2014, a lancé le compte à rebours.
Cela fait un mois qu’un mercato se prépare à Bruxelles, depuis que la Danoise (55 ans) a annoncé le 20 juin qu’elle se portait candidate à la présidence de la BEI. « Je suis heureuse que le gouvernement danois ait proposé mon nom comme candidate possible au poste de président de la Banque européenne d’investissement », a-t-elle déclaré. Le conseil d’administration de la BEI fera connaître en août la liste des candidats à sa présidence, et Margrethe Vestager devra officiellement quitter ses fonctions et se mettre en congé sans solde, d’après Euractiv. La dame « antitrust » de Bruxelles aura marqué pendant près de dix ans l’exécutif européen en tenant tête aux GAFAM, en infligeant notamment des amendes records. Google a ainsi écopé de trois sanctions financières de la part de la Commission européenne, entre 2017 et 2019 pour un total de plus de 8 milliards d’euros (2). Dernier grief en date envers de la filiale d’Alphabet : le 14 juin dernier, la Commission européenne l’accuse d’abuser, depuis au moins 2014, de ses positions dominantes dans la publicité en ligne (3). Margrethe Vestager a même brandi la menace du démantèlement (4). Apple est aussi dans le collimateur. Amazon et Facebook, eux, ont été épinglés pour violation du RGPD. Margrethe Vestager va passer le flambeau de la puissante direction générale de la concurrence (DG COMP) que dirige Olivier Guersent. D’après des spéculations, le Français Thierry Breton ne serait pas candidat à la succession de Margrethe Vestager mais se verrait bien à la concurrence lors du prochain mandat 2024-2029 de la Commission européenne. Ce jeu de chaises musicales s’annonce au moment où Bruxelles est au coeur d’une polémique autour de la nomination de l’Américaine Fiona Scott Morton comme économiste en chef de la DG COMP justement. Ce devait être à partir du 1er septembre (5).
Margrethe Vestager a été auditionnée au Parlement européen le 18 juillet, annonçant « avec regret » le désistement de la professeure d’économie qui officie à la Yale SOM. @

Protection des données : après 5 ans de mise à l’épreuve du RGPD, son réexamen sera le bienvenu

Publié le par

En attendant le réexamen en 2024 du règlement sur la protection des données (RGPD), les entreprises peinent à remplir certaines de leurs obligations, comme celle de transparence envers les utilisateurs, et doivent faire face au détournement du droit d’accès aux données et à la déferlante de l’IA.

Par Sandra Tubert, avocate associée, Algo Avocats

Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (1). La couverture médiatique dont il a fait l’objet a permis de sensibiliser les Européens à la protection de leurs données à caractère personnel, mais également au RGPD de s’imposer comme une référence pour les Etats étrangers ayant adopté une loi similaire. Pour autant, avec un recul d’un peu plus de cinq ans, le RGPD peine à remplir pleinement certains des objectifs fixés.

Internautes concernées mieux informés
Dans la lignée de la directive « Protection des données personnelles » de 1995 qui l’a précédée (2), le RGPD n’a pas choisi la voie de la patrimonialisation des données à caractère personnel. Le législateur européen n’a en effet pas créé de droit à la propriété sur les données à caractère personnel, mais s’est plutôt orienté vers une approche de protection des données permettant aux personnes concernées d’avoir une certaine maîtrise de l’utilisation faite de leurs données à caractère personnel. Deux objectifs principaux ont été associés à cette approche : renforcer la transparence sur les traitements réalisés et fournir des droits supplémentaires aux personnes concernées. C’est ainsi que le RGPD est venu renforcer l’obligation faite aux responsables du traitement de fournir une information détaillée sur les traitements mis en œuvre (3). L’objectif affiché était louable : une transparence accrue afin de permettre aux individus de comprendre en amont l’utilisation envisagée de leurs données par les entreprises et ainsi d’en avoir la maîtrise en leur laissant la possibilité d’effectuer un choix éclairé : refuser la communication de leurs données, s’opposer à certains traitements, ou bien encore donner leur consentement à la réalisation de certaines activités.
En pratique, les entreprises ont l’obligation de fournir l’intégralité des informations prévues par le RGPD de façon concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Or répondre à ces impératifs de manière conforme à ce qui est attendu par les autorités de contrôle – comme la Commission nationale de l’informatique et des libertés (Cnil) en France – est l’une des premières difficultés que cinq ans de pratique du RGPD ont fait émerger. En effet, les organisations ont des difficultés à concilier les exigences de fourniture d’une information exhaustive et très technique – notamment concernant les bases légales du traitement et les garanties fondant les transferts des données hors de l’Union européenne (4) – avec celles de clarté et de concision. Ainsi, au titre des effets pervers de cette obligation de transparence accrue, les citoyens européens font face à des politiques de confidentialité toujours plus longues, rédigées en des termes trop techniques ou trop juridiques. De l’autre côté, les autorités de protection des données n’hésitent pas à sanctionner les manquements à cette obligation, puisque le « défaut d’information des personnes » figure parmi les manquements les plus fréquemment sanctionnés par la Cnil (5).
Cette obligation a été couplée à la fourniture de droits supplémentaires aux personnes, toujours dans une optique de leur offrir une meilleure maîtrise de leurs données. En pratique, le RGPD a repris les droits existants depuis la directive « Protection des données personnelles » (droits d’accès, de rectification, d’opposition), consacré le droit d’effacement (6) et créé de nouveaux droits (droits à la limitation du traitement et à la portabilité des données). La sensibilisation du grand public à l’existence de ces droits, grâce notamment aux actions de la Cnil et au traitement médiatique, ont eu pour effets la réception, par les entreprises, de demandes fondées sur les droits issus du RGPD de plus en plus nombreuses. Par ricochet, les autorités de protection des données ont, elles aussi, vu le nombre de plaintes déposées auprès de leurs services augmenter considérablement (7). Ainsi, la Cnil a reçu 12.193 plaintes en 2022 contre 7.703 en 2016. L’objectif fixé par le RGPD semble donc atteint sur ce point.

Droit d’accès : instrumentalisation
Néanmoins, ces dernières années ont également été témoin du détournement du droit d’accès, aussi bien dans la sphère sociale que commerciale. En effet, les entreprises reçoivent de plus en plus de demandes de droit d’accès dont l’objectif n’est pas de vérifier l’existence et la licéité du traitement des données, mais au contraire de se constituer des preuves dans le cadre d’un précontentieux ou d’un contentieux à l’encontre de l’entreprise. Cette instrumentalisation est parfaitement connue des autorités qui ont toutefois réaffirmé (8) que, dans le cadre de l’évaluation des demandes reçues, le responsable du traitement ne devait pas analyser l’objectif du droit d’accès en tant que condition préalable à l’exercice de ce droit et qu’il ne devait pas refuser l’accès au motif que les données demandées pourraient être utilisées par la personne pour se défendre en justice. Les entreprises n’ont ainsi d’autres choix que de donner suite à ces demandes, en restreignant la nature des données communiquées aux seules données relatives à la personne concernée et en veillant à ne pas porter atteinte aux droits des tiers (9).

Des obligations de sécurité renforcées
La protection des données à caractère personnel passant nécessairement par la sécurité de celles-ci, le RGPD est venu renforcer les obligations à la charge des entreprises au moyen de deux mécanismes assez efficaces : l’obligation pour les responsables du traitement de notifier les violations de données aux autorités de contrôle (10), voire directement aux personnes concernées, respectivement lorsqu’elles présentent des risques ou des risques élevés pour les personnes; l’obligation pour les responsables du traitement et les sous-traitants (11) de mettre en œuvre des mesures de sécurité appropriées aux risques présentés par le traitement.
Il est assez difficile de déterminer si les objectifs de sécurisation des données fixés par le RGPD sont atteints. Néanmoins, dans un contexte où les attaques par rançongiciel (ransomware) se multiplient chaque année (12), les autorités de contrôle sont particulièrement vigilantes quant au respect de ces deux obligations. En témoigne notamment le fait qu’en 2022, un tiers des sanctions prononcées par la Cnil concernait un manquement à l’obligation de sécurité. Ce même manquement a conduit cette dernière à prononcer sa première sanction publique à l’encontre d’un sous-traitant (13), un éditeur de logiciel, pour un montant de 1,5 million d’euros. Elle n’a pas non plus hésité à sanctionner une entreprise qui n’avait pas informé les personnes concernées de la violation de données intervenue, alors qu’elle présentait un risque élevé pour ces dernières.
Sur le respect de l’obligation de notification des violations de données, il est assez difficile de tirer de réels enseignements des chiffres disponibles, même si l’on constate des disparités importantes quant au nombre de notifications de violation de données réalisées chaque jour en fonction des pays. A titre d’exemple, il y a environ 14 notifications par jour en France, contre 27 notifications par jour au Royaume-Uni.
Cette disparité se retrouve également dans le nombre de sanctions prononcées chaque année par les autorités de contrôle et l’approche suivie par ces dernières. Si l’autorité espagnole prononce énormément de sanctions, l’autorité irlandaise est régulièrement épinglée (y compris par ses homologues) pour sa clémence et le peu de sanctions prononcées depuis l’entrée en application du RGPD, alors même qu’elle fait office d’autorité chef de file de la plupart des GAFAM (14). C’est finalement sur ce point que le RGPD peine à convaincre et à remplir pleinement ses objectifs, à savoir inciter les entreprises à se mettre en conformité au moyen d’un arsenal répressif dissuasif. En effet, à l’exception des quelques fortes sanctions (dont la dernière en date de 1,2 milliard d’euros à l’encontre de Meta), prononcées principalement à l’encontre des GAFAM et des géants du Net, les sanctions à l’encontre des sociétés sont moins fréquentes que ce qui était escompté par les associations de protection des données. Et les montants des sanctions financières sont assez éloignés des montants maximums encourus (4 % du chiffre d’affaires mondial consolidé). En France, en dehors des sanctions prononcées à l’encontre des GAFAM (dont beaucoup pour des manquements en matière de cookies, non régulés par le RGPD) et très récemment de Criteo (40 millions d’euros), le montant des sanctions prononcées par la Cnil sur le fondement du RGPD oscille depuis cinq ans entre 125.000 et 3 millions d’euros (15).
L’association Noyb (16), à l’origine de nombreuses sanctions prononcées en Europe au cours des cinq dernières années, dénonce une certaine résistance des autorités de contrôle et des tribunaux nationaux dans l’application effective du RGPD (17). Elle appelle à suivre l’initiative de la Commission européenne d’adopter un règlement sur les règles de procédure relatives à l’application du RGPD (18), ce qui permettrait selon Noyb d’uniformiser l’approche procédurale des autorités et ainsi de favoriser une meilleure application du RGPD.
Par ailleurs, si les entreprises ont pu craindre la multiplication des actions de groupe en matière de protection des données, cette modalité d’action est à l’heure actuelle peu utilisée par les associations de protection des données. En France, seulement deux actions de groupe ont été portées devant les juridictions : l’ONG Internet Society France contre Facebook et l’association UFC-Que-Choisir contre Google. Ce qui pourrait changer au regard des dernières annonces faites par Noyb suite à l’entrée en application des dispositions issues de la directive « Recours collectifs » de 2020 (19).

Vers un réexamen du RGPD en 2024
Enfin, le paysage législatif européen pourrait également avoir un impact sur l’application du RGPD. En effet, plusieurs textes européens adoptés récemment (DSA, DGA) ou en cours d’adoption (DA, AIA) ont des champs d’application recoupant celui du RGPD, ce qui va notamment nécessiter de veiller à garantir leurs bonnes articulations. A cette occasion, ou au titre de l’article 97 du RGPD (réexamen tous les 4 ans à compter du 25 mai 2020), il serait souhaitable de voir le législateur européen adresser certaines des difficultés rencontrées par les entreprises dans la mise en application pratique du RGPD. @