Archives par mot-clé : Internet

Les majors Universal Music, Sony Music et Warner Music négocient avec les éditeurs d’IA musicales

Publié le par

Google et sa filiale YouTube négocient avec Universal Music l’autorisation d’utiliser pour son IA musical, MusicML, les données de la première « maison de disques ». Les autres majors, Warner Music et Sony Music, devront aussi trouver des accords. C’est plus une opportunité qu’une menace.

Le 21 août, YouTube a annoncé un accord avec Universal Music autour de l’IA musicale. Le Financial Times avait par ailleurs révélé le 9 août que sa maison mère Google et la première major mondiale de la musique enregistrée étaient en pourparlers pour autoriser que les mélodies et les voix des artistes soient exploitées par l’intelligence artificielle MusicLM (développée par Google) afin que celle-ci puisse créer de nouvelles chansons. Si ces négociations devaient aboutir, un accord de ce type serait une première pour l’industrie musicale qui, jusqu’à maintenant, voient plus ces IA génératives de musiques comme une menace pour elle.

Accords avec Google et YouTube
Quel est l’impact de l’IA générative sur l’industrie musicale ? « Imaginez que quelqu’un vole tout ce qui a de la valeur à une entreprise et l’utilise pour lancer une entreprise pour lui faire concurrence. C’est exactement ce qui se passe avec beaucoup de grands modèles d’IA d’apprentissage automatique qui existent aujourd’hui. Il s’agit d’une concurrence déloyale classique. (…) Il y a un besoin urgent de “code de la route” approprié pour l’IA générative et nous vous encourageons à agir de manière décisive et sans délai », a déclaré le 12 juillet dernier Jeffrey Harleston (photo), directeur juridique et vice-président exécutif pour les affaires commerciales et juridiques d’Universal Music. Il était auditionné au Sénat américain par le sous-comité de la commission judiciaire du Sénat, sur le thème de « l’intelligence artificielle et la propriété intellectuelle » (1).
Que vous disent les artistes au sujet de leurs voix et de la musique utilisées sans leur consentement par des IA musicales ? « Les artistes sont naturellement bouleversés que leur nom, image, ressemblance ou voix soient volés et utilisés pour suggérer qu’ils ont dit, chanté, ou fait quelque chose qu’ils n’ont jamais fait, a-t-il répondu aux sénateurs qui l’auditionnaient. C’est une violation horrible de la vie privée, et comme cela pourrait nuire à la réputation de l’artiste, cela pourrait irrémédiablement nuire à leur carrière. La voix et la personnalité d’un artiste sont leur gagne-pain et les voler – peu importe le moyen – est mal ». Il a appelé les Etats-Unis à procéder à des modifications législatives pour assurer un développement éthique de l’IA, notamment musicale. Le directeur juridique d’Universal Music avance trois points pour une future « loi pérenne sur le droit d’auteur afin de s’assurer qu’elle résiste à une IA en constante évolution technologie » : édicter une loi fédérale sur le droit de publicité [ou droit à l’image, ndlr] pour assurer la protection de la propriété intellectuelle d’un nom, d’une image, d’une ressemblance ou d’une voix ; assurer la transparence des éléments d’apprentissage de l’IA et permettre au titulaire du droit de pouvoir consulter les enregistrements détaillés des entrées d’apprentissage, sans avoir à s’engager dans un litige ; exiger l’étiquetage des oeuvres essentiellement générées par l’IA. Mais sans attendre que le Congrès américain s’empare du sujet, Universal Music cherche à trouver un terrain d’entente avec les éditeurs d’IA générative, tout du moins avec Google qui l’a approché.
La filiale d’Alphabet est aussi entrée en contact avec Warner Music. Il ne resterait plus qu’à discuter avec Sony Music pour faire le tour des trois grandes majors de la musique enregistrée. Rappelons qu’en septembre 2016, le laboratoire Sony CSL (2) avec fait sensation sur YouTube en diffusant une « nouvelle musique » des Beatles baptisée « Daddy’s Car » (3) et créée par l’IA Flow Machines du japonais (4), les Beatles faisant partie du répertoire… d’Universal Music. La n°1 des majors – au siège social situé aux Pays-Bas mais ayant son siège opérationnel basé à Santa Monica en Californie – adhère en outre aux sept principes édictés par le groupe Human Artistry Campaign (5) lancé en début d’année. Il s’agit de défendre les droits des créateurs dans le développement des technologies d’IA.
Pour l’heure, Alphabet avance à grand pas dans la musique générée par l’intelligence artificielle : tant du côté de Google qui a présenté le 26 janvier sa propre IA musicale baptisée MusicLM (6) que du côté de YouTube qui a lancé le 21 août un incubateur d’IA musicale avec des artistes, des auteurscompositeurs et des producteurs d’Universal Music (7).

MusicLM (Google), une IA hi-fi
Google présente MusicLM comme « un modèle générant une musique haute-fidélité à partir de descriptions textuelles ou d’une mélodie fredonnées ». Cette IA génère de la musique à 24 kHz qui reste cohérente sur plusieurs minutes. Et la filiale d’Alphabet d’affirmer : « Nos expériences montrent que MusicLM surpasse les systèmes précédents en termes de qualité audio et d’adhésion à la description du texte » (8). Mais cette IA musicale prometteuse n’a pas encore été rendue accessible au grand public, le géant du Net ayant la prudence de demander l’autorisation des plus grandes maisons de disques pour ne pas être accusé de contrefaçon et de spoliation des artistes. Seuls de nombreux exemples de bandes sonores générées par MusicML ont été mis en ligne.

Meta se met en trois avec Audiocraft
Google n’est pas le seul à s’aventurer sur le terrain du « text-to-music » puisque Meta a mis en logiciel libre (open source) son modèle de langage capable de générer des extraits musicaux, MusicGen. Meta (ex-groupe Facebook), qui avait présenté mi-juin dernier MusicGen comme étant légèrement supérieures à MusicLM en termes de performances, a présenté le 3 août sa panoplie IA appelée Audiocraft, composée non seulement de MusicGen, mais aussi d’AudioGen et d’EnCodec. « MusicGen, qui a été formé avec de la musique appartenant à Meta et spécifiquement sous licence, génère de la musique à partir d’entrées utilisateur textuelles, tandis qu’AudioGen, qui a été formé aux effets sonores publics, génère de l’audio à partir d’entrées utilisateur textuelles. Aujourd’hui, nous sommes ravis de publier une version améliorée de notre décodeur EnCodec, qui permet une génération de musique de meilleure qualité avec moins d’artefacts », explique Meta dans sa présentation. Les trois modèles de la suite Audiocraft sont disponibles à des fins de recherche, destinés aux chercheurs et aux praticiens. Cette ouverture devrait accélérer le développement de l’IA générative pour l’audio, lequel a pris du retard par rapport aux IA générative pour les images, la vidéo et le texte (ChatGPT, Midjourney, Bard, Dall·E 2, LLaMA, Stability AI, …). « Générer de l’audio hautefidélité de toute sorte nécessite la modélisation de signaux et de motifs complexes à différentes échelles. La musique est sans doute le type d’audio le plus difficile à générer car elle est composée de modèles locaux et de longue portée, d’une suite de notes à une structure musicale globale avec plusieurs instruments », fait remarquer la firme de Mark Zuckerberg (9).
Mais le tout-en-un proposé en open source par AudioCraft, pour la musique, le son, la compression et la génération, vise à faciliter l’innovation et la créativité musicales (composition, chanson, bande sonore, …), sans avoir à jouer une seule note sur un instrument. Meta estime même que « MusicGen peut se transformer en un nouveau type d’instrument – tout comme les synthétiseurs lors de leur apparition » (10). MusicGen a été formé sur environ 400.000 enregistrements avec descriptions textuelles et métadonnées, ce qui représente 20.000 heures de musique appartenant à Meta ou sous accords de licence. Pour l’heure, Meta ne fait état d’aucune négociation avec l’industrie musicale et encore moins avec les majors avec lesquels Google a, au contraire, pris langue. « Si vous voyez un exemple de musique UMG [Universal Music Group, ndlr] distribuée illégalement, n’hésitez pas à nous contacter à contentprotection@umusic.com », signale sur son site web (11) la première major dirigée par Lucian Grainge (photo ci-contre). C’est ce qu’on dû peut-être faire les deux artistes Drake et The Weeknd, produits par Universal Music, lorsqu’ils ont constaté en avril dernier qu’un « artiste » surnommé « Ghostwriter » (compositeur fantôme) a mis en ligne une musique avec voix s’inspirant de leur style musical. Les fichiers audio et vidéo de ce morceau de 2 minutes et 14 secondes ont été diffusés avec succès sur plusieurs plateformes de streaming musical (Spotify, YouTube/YouTube Music, Apple Music, TikTok, …), avant d’en être retirés après quelques jours. Un spécialiste américain estime que le morceau pourrait avoir été créé et promu à des fins de marketing viral par une start-up californienne Laylo (12), laquelle travaille avec des artistes musicaux et compte parmi ses investisseurs… Sony Music. Bien d’autres artistes musicaux ont été imités par des IA génératives à tendance mélomane. La chanteuse barbadienne Rihanna (signée elle aussi chez UMG) s’est par exemple étonnée au printemps de s’entendre chanter « Cuff It » de Beyoncé, via une « IA Rihanna » (13).
Le rappeur Ye (ex-Kanye West, ayant son propre label Good Music) n’a pas non plus été épargné par la déferlante IA musicale, avec les musiques « Hey There Delilah » de Plain White T’s et « Passionfruit » de Drake. Angèle, elle, s’est vue en août chanter en duo avec Gazo (14) sans son consentement. Les IA musicales Flow Machines, MusicGen, AudioGen, MusicLM, Riffusion ou encore Mubert n’ont pas fini de surprendre. Jeffrey Harleston compte sur les Etats-Unis pour résorber leur retard dans la réglementation de l’IA générative.

Les Etats-Unis derrière la Chine et l’UE
A la suite des auditions de cet été, le Congrès américain devrait légiférer sur l’IA d’ici la fin de l’année. A l’instar de la Chine (15), l’Union européenne (UE) a pris de l’avance dans l’élaboration de son « AI Act » qui est entré mi-juin en phase de discussion législative entre le Parlement européen et le Conseil de l’UE. « Les systèmes d’IA générative comme ChatGPT doivent mentionner que le contenu a été généré par une IA. (…) Des résumés détaillés des données protégées par le droit d’auteur utilisées pour la formation des IA devront également être rendus publics », prévoit le projet de règlement européen sur l’IA (16). Les IA génératives vont devoir s’accorder. @

Charles de Laubier

Le « fédivers », une promesse d’interopérabilité ?

Publié le par

En fait. Le 9 août, La Quadrature du Net (défenseuse des libertés fondamentales) estime que l’interopérabilité proposée par Meta avec Threads (concurrent de Twitter/X) – via un protocole « fédivers » pour communiquer avec d’autres réseaux décentralisés – n’est « pas une bonne nouvelle ».

En clair. « Le fédivers (de l’anglais fediverse, mot-valise de “fédération” et “univers”) est un ensemble de médias sociaux composé d’une multitude de plateformes et de logiciels, où les uns communiquent avec les autres grâce à un protocole commun », explique La Quadrature du Net (LQDN). Le terme « fédivers » – à ne pas confondre avec « métavers » – est utilisé depuis moins de dix ans pour désigner les réseaux sociaux décentralisés, mais fédérés entre eux, afin d’assurer une interopérabilité entre leurs utilisateurs. Et ce, grâce un protocole commun ouvert et décentralisé comme plus répandu : ActivityPub, reconnu par le World Wide Web Consortium (W3C). Plusieurs médias sociaux sont interopérables comme Mastodon (partage de messages), PeerTube (partage de vidéos), Pixelfed (images et photos), Funkwhale (musiques) ou encore GNU social (l’un des plus anciens microbloggages né il y a plus de dix ans sous le nom de StatusNet).
La galaxie « fédivers » s’agrandit progressivement (1), au point de voir arriver un nouvel entrant : Threads, un microblogging lancé le 6 juillet dernier par Meta (maison mère de Facebook et d’Instagram) pour concurrencer Twitter rebaptisé X. La particularité de Threads est d’être décentralisé et bientôt compatible avec ActivityPub justement, donc interopérable à terme avec Mastodon par exemple. Chaque média social devient ainsi une « instance » lorsqu’il interagit avec un autre média social. C’est là que le bât blesse lorsque Threads veut interopérer avec d’autres instances du fédivers. « L’arrivée de Facebook sur le fédivers ressemble à la stratégie de prendre les devants, d’agir tant qu’il n’existe pas encore d’encadrement, afin de cannibaliser le fédivers en profitant de la circonstance de l’effondrement de Twitter », estime LQDN, qui souligne que Threads n’est pas encore interopérable avec le reste du fédivers car « il ne s’agit à ce stade que d’une annonce ».
L’initiative « anti-Meta » a été lancée sous le nom de Fidepact (2) pour bloquer Threads sur le fédivers. Mais LQDN ne l’a pas signée, bien qu’elle partage la crainte de « cannibalisation du fédivers par Meta », car : « Il est possible, et souhaitable, d’avoir Facebook et les autres réseaux sociaux commerciaux sur le fédivers. C’est une condition sine qua non à leur affaiblissement » (3). En attendant une obligation légale d’interopérabilité applicable aux GAFAM. @

Yannick Carriou, PDG de Médiamétrie : « Nous allons mesurer en 2024 les plateformes de SVOD comme Netflix »

Publié le par

Médiamétrie – dont le conseil d’administration est composé de membres actionnaires issus des médias (télés en tête), des annonceurs, des agences, mais pas encore des plateformes – sortira en septembre 2024 les volumes de consommations de Netflix, Amazon Prime Video et autres, « qu’ils le veuillent ou non ».

Médiamétrie, qui fêtera ses 40 ans dans deux ans (en juin 2025), fait monter encore plus la pression sur les grandes plateformes numériques comme Netflix, Amazon Prime Video, Disney+ ou Apple TV+. Alors que les discussions confidentielles s’éternisent depuis plus d’un an avec certaines d’entre elles, dont Netflix, l’institut français de mesure d’audience réaffirme sa volonté aller de l’avant, avec ou sans leur coopération. « Nous sortirons une quantification totale de consommation des plateformes, puis au niveau des principaux contenus des audiences, avec des définitions ayant du sens, une information auditée, un certain niveau de transparence. A partir de septembre 2024, du moins au troisième trimestre 2024, on sortira des volumes de consommation, par exemple de Netflix. Puis six à neuf mois plus tard [soit à partir de mars 2025 au plus tôt, ndlr], on descendra au niveau des contenus », a indiqué Yannick Carriou (photo), PDG de Médiamétrie, lors d’une rencontre le 12 juillet avec l’Association des journalistes médias (AJM), dont fait partie Edition Multimédi@. Et d’ajouter : « C’est la raison pour laquelle nous avons passé un accord avec Nielsen, qui nous apporte immédiatement des technologies que nous sommes en train de tester et d’adapter à l’Internet français pour faire cette mesure-là ».

Vers une plateforme coactionnaire de Médiamétrie ?
Nielsen, le géant américain de la mesure d’audience présent dans le monde, collabore déjà avec Médiamétrie depuis 1999 mais, avec ce nouveau partenariat signé fin 2022, il fournit au français ses technologies – déjà éprouvées aux Etats-Unis – de mesure des flux digitaux à domicile par des routeurs Internet, de gestion informatique des contenus numériques de télévision, ainsi que de reconnaissance de contenus des plateformes de vidéo à la demande (VOD, SVOD, AVOD, FAST, …). « On sait mesurer quand un terminal se connecte à un serveur qui appartient à Netflix, Amazon ou Spotify, et quantifier automatiquement et de manière assez certaine les volumes de consommation. La situation est un peu différente au niveau des contenus : dans l’univers de la SVOD, 90 % à 95 % des contenus sont quasi exclusifs et on les reconnaît par une technique de type Shazam [reconnaissance de contenus, ndlr], alors que sur la télévision les contenus sont watermarqués [par du watermarking ou tatouage numérique, ndlr]. Sur l’audio digital, c’est plus difficile car les contenus sont aussi diffusés par les autres », explique Yannick Carriou.

Vers une plateforme coactionnaire de Médiamétrie ?
Médiamétrie travaille déjà sur les acteurs de l’Internet comme Google/YouTube, Facebook, Snap et Twitter ou encore Dailymotion, lesquels participent aux travaux de son comité Internet. En revanche, ce n’est toujours pas le cas des plateformes de SVOD qui sont absentes. « Si Netflix, Amazon, Disney et d’autres veulent participer d’avantage, et ils sont les bienvenus ; ils le peuvent en apportant un peu plus de précisions (logs, informations, …) qui seront auditées. Mais à ce jour, aucune plateforme ne nous a encore apporté ses données, constate le PDG de Médiamétrie. De tout façon, on n’en a pas besoin car nous allons d’abord développer notre mesuresocle. Or une fois que l’on commence à les mesurer pour de vrai, qu’ils le veuillent ou non, ils ne rigolent plus et les discussions s’ouvrent ». Comme avec Netflix. Médiamétrie, qui compte cinq comités décisionnels (Audimétrie, TV, Internet, Radio, Métridom (1)) et un atelier Cross média pub, « invite » les plateformes de SVOD à y participer. Mais « à deux conditions : que l’on ait une mesure à discuter et que l’on se mette d’accord sur la comitologie (2) ; probablement qu’en 2024 on aura une discussion pour l’insertion de ces acteurs », indique le PDG de Médiamétrie. Pour l’heure, en France, les Netflix, Amazon et autres Disney pratiquent l’automesure de l’audience de leurs plateformes et de leurs contenus, et ne partagent pas leurs données avec le marché. Certains acteurs de la SVOD peuvent annoncer des chiffres, comme Amazon avec Roland Garros que le géant du ecommerce retransmet depuis 2021, mais ils ne sont pas audités. «La posture de l’automesure qui consiste à dire “Prenez et mangez-en tous” ne marche pas trop », dit Yannick Carriou. Dans l’audio, Spotify fait aussi de la publicité digitale mais « ils sont très opaques sur les chiffres », des annonceurs lui achetant de l’impression (3). « Mais quelle est l’audience derrière ces impressions ? », s’interroge le patron de Médiamétrie. Pour lui, « la plateformisation relève de l’extension du domaine de la lutte ».
Un double bras de fer a lieu avec ces plateformes, notamment de SVOD. D’un côté, Médiamétrie les prévient qu’il va bientôt les mesurer à partir du troisième trimestre 2024, et, de l’autre, l’Union des marques (UDM) dirigée par Jean-Luc Chetrit (photo ci-dessus) les met en garde sur le fait que les annonceurs ne leur achèteront pas d’espaces de publicité tant qu’ils ne seront pas mesurés par Médiamétrie. Si certaines marques se laissent néanmoins tenter par Netflix ou Amazon, « c’est pour essayer et par effet de curiosité », assure Yannick Carriou. Et d’affirmer : « Il n’y a pas eu d’évasion massive de la publicité vers les plateformes de SVOD, et cela n’explique surtout pas la baisse de la publicité de la télévision ». Mais Médiamétrie se garde bien de tirer de conclusion hâtive sur un échec ces derniers mois de Netflix, lequel prépare son « inventaire » (4), tout comme Disney+. « Le plus gros est devant nous », concède-t-il.
Reste la question sensible pour Médiamétrie de l’évolution de son conseil d’administration, dont les 17 membres (maximum) ont la particularité – sauf son président (Yannick Carriou) – d’être salariés des entreprises actionnaires de l’institut de mesure, « société anonyme de droit privée », tient à rappeler son PDG. Actuellement, le capital de 14.880.000 euros est détenu à 65 % par des médias (France Télévisions 22,89 %, TF1 10,8 %, Canal+ 1,4 %, Radio France 13,5 %, Europe 1/ Lagardère 5,4 %, NextRadioTV/Altice 5,4 %, M6/RTL 2,7 %, Ina 2,81 %). Et les 35 % restants par des publicitaires annonceurs, agences conseils et… opérateur télécom (Union des marques 9,33 %, Publicis 6,7 %, Dentsu 6,7 %, Havas 6,7 %, Orange 2,44 %, Omnicom 1,62 %, IPG 1,61 %). Parmi eux, le dernier arrivé au capital (en juillet 2021) est Orange via sa filiale Orange Participations (5). Alors pourquoi ne pas faire aussi entrer une plateforme du Net au conseil d’administration en tant que coactionnaire ? « Mais pourquoi feraisje entrer une plateforme ? », a demandé Yannick Carriou. Pour refléter l’évolution du paysage médiatique et publicitaire, lui répond-on. « C’est un peu romantique comme idée, a-til répliqué, puisque le rôle du conseil d’administration consiste à valider mon budget, les règles de fonctionnement et à vérifier, mais à ne prendre aucune décision sur les mesures. Je pourrais faire entrer Auchan si vous voulez… Mais ça n’apportera rien à la fonction elle-même ». Alors pourquoi avoir fait entrer un opérateur télécom ? « Parce qu’Orange a voulu y entrer, tout en apportant de la data, et s’est rapproché de l’Union des marques qui a bien voulu lui vendre une partie de ses actions et qui donc passé de 11,77 % à 9,33 % », a-t-il justifié. Vous pourriez faire une augmentation de capital si aucun actionnaire actuel n’est vendeur d’actions ? « Je n’ai pas besoin d’argent ». Que dirait Médiamétrie si Netflix, Amazon ou un autre géant du Net venait lui proposer d’être coactionnaire en apportant son expertise data ? « Je ne dis pas non. Il faudrait que la plateforme achète des actions ». Aucun GAFAM n’en a fait la demander à ce jour ? « Non ». Yannick Carriou, qui a entamé un second mandat de trois ans depuis le 1er avril, assure en tout cas que les médias traditionnels ont conscience de l’évolution des usages et les télévisions se plateformisent elles-mêmes.

Etats-Unis : Nielsen compare déjà la TV et le Net
Il serait impossible pour une chaîne comme TF1 de dire qu’elle va devenir une plateforme et de refuser à ce que les autres plateformes comme Netflix soient mesurées. « Ce serait totalement illogique, souligne-t-il. Par contre, là où les chaînes ou les éditeurs sont extrêmement sourcilleux, et ils ont raison car une partie de leur destin difficile est en jeu, c’est sur la comparabilité des mesures ». Les médias veulent la stricte comparabilité des chiffres avec les plateformes, comme a commencé à le faire Nielsen aux Etats-Unis et avec Amazon dès l’année dernière malgré la résistance de certains groupes de télévision américains (6). @

Charles de Laubier

L’anonymat sur les réseaux sociaux n’existe pas, seule est pratiquée la pseudonymisation

Publié le par

A part pour certains geeks utilisant Tor, l’anonymat sur Internet n’existe quasiment pas – contrairement à une idée répandue. L’identification d’un internaute utilisant un pseudonyme se fait par son adresse IP et peut être ordonnée par un juge sur « réquisition judiciaire ».

« L’anonymat sur les réseaux sociaux n’est plus une protection face à la justice », a lancé le procureur de la République de Créteil, Stéphane Hardouin, le 6 juillet dernier sur son compte professionnel LinkedIn, en montrant son communiqué expédié le même jour (1). Il annonce qu’un jeune homme âgé de 19 ans, ayant relayé de façon anonyme sur Twitter – après la mort de Nahel tué à bout portant par un policier le 27 juin 2023 à Nanterre et ayant suscité une forte émotion – un appel à attaquer le centre commercial « Créteil Soleil » et le tribunal judiciaire de Créteil, a été identifié avec l’aide de Twitter.

Twitter, Snapchat, Instagram, TikTok, …
Présumé innocent, il encourt en cas de culpabilité jusqu’à cinq ans de prison d’emprisonnement et 45.000 euros d’amendes. Son anonymat a été levé par Twitter sur réquisition judiciaire adressée le 1er juillet au réseau social à l’oiseau bleu. Accusé de « provocation publique et directe non suivie d’effet à commettre un crime ou un délit et complicité de dégradation ou détérioration d’un bien appartenant à autrui », le garçon majeur – domicilié dans le Val-de-Marne – a été interpellé le 6 juillet et placé en garde à vue au commissariat de Créteil.
Après son tweet, il se trouve que le centre commercial « Créteil Soleil » était pris d’assaut le 30 juin (21 individus interpelés), puis dans la nuit du 2 au 3 juillet des barricades faites de poubelles était incendiées et des mortiers était tirés aux abords du tribunal judiciaire de Créteil. Son message a été repéré par Pharos, la « plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements » de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), au sein de la Police judiciaire. Pour la réquisition judiciaire adressée à Twitter, le procureur de Créteil, Stéphane Hardouin, fait référence dans son communiqué à la circulaire du garde des sceaux datée du 30 juin et signée par Eric Dupond-Moretti (photo), qui appelle notamment à « une réponse pénale ferme ». Le ministre de la Justice pointe notamment l’anonymat sur les réseaux sociaux qui peut être levé par un juge : « Il apparaît que de nombreuses exactions sont commises après avoir été coordonnées via les systèmes de diffusion de messages sur certains réseaux sociaux dits OTT pour “opérateurs de contournement” (Snapchat notamment). Il doit être rappelé que depuis l’entrée en vigueur de l’ordonnance n°2021-650 du 25 mai 2021, les OTT sont considérés comme des opérateurs de communication électronique (…), au sens de l’article L.32 du code des postes et des communications électroniques (CPCE). Dès lors, ils sont tenus de répondre aux réquisitions judiciaires, car relevant des mêmes obligations que les opérateurs téléphoniques. Ils peuvent ainsi être requis au visa de l’urgence pour assurer une réponse rapide sur les éléments de nature à permettre d’identifier les auteurs de ces messages ».
Dans la circulaire « Traitement judiciaire des violences urbaines » de quatre pages (2), émise par la Direction des affaires criminelles et des grâces à l’attention des procureurs et des présidents des tribunaux, le garde des sceaux leur demande de « veiller à retenir la qualification pénale adaptée aux faits perpétrés dans ce contexte et à procéder à une évaluation rapide et globale de la situation de manière à pouvoir apporter une réponse pénale ferme, systématique et rapide aux faits le justifiant ».
Et d’ajouter : « Pour les mis en cause majeurs, la voie du défèrement aux fins de comparution immédiate ou à délai différé, ou le cas échéant, de comparution sur reconnaissance préalable de culpabilité, sera privilégiée pour répondre aux faits les plus graves ». Eric Dupond- Moretti a rappelé en outre que « les infractions commises par les mineurs engagent, en principe, la responsabilité civile de leurs parents ». Que cela soit dans la vraie vie ou sur les réseaux sociaux, nul n’est censé échapper aux sanctions pénales si la justice juge coupable l’individu ou l’internaute interpellé.

Pseudonymisation et démocratie vont de pair
Dans son rapport annuel 2022 – publié le 27 septembre – sur « les réseaux sociaux : enjeux et opportunités pour la puissance publique » (3), le Conseil d’Etat a estimé que « les réseaux sociaux engendrent une désinhibition, souvent aggravée par l’anonymat, qui ouvre la voie à de nombreux actes malveillants ». Faut-il pour autant interdire l’utilisation de pseudonymes sur les réseaux sociaux ? Les sages du Palais-Royal se sont dits très réservés sur la suppression de l’anonymat qui n’est autre que de la pseudonymisation : « La possibilité de s’exprimer sous un autre nom que le sien, qui a toujours été admise dans la vie réelle, est, comme l’a d’ailleurs rappelé par exemple la Cnil (4), “une condition essentielle du fonctionnement des sociétés démocratiques” qui permet “l’exercice de plusieurs libertés fondamentales essentielles, en particulier la liberté d’information et le droit à la vie privée”. Elle peut faciliter la prise de parole de personnes qui craignent la discrimination ou souhaitent contester les positions acquises ».

L’anonymat du Net est toute relative
Le Conseil d’Etat estime en outre que « la suppression de l’anonymat, qui n’a été adoptée par aucune démocratie occidentale et n’est pas envisagée au sein de l’Union européenne, ne paraît pas constituer une solution raisonnable conforme à notre cadre juridique le plus fondamental ». Et contrairement aux détracteurs d’Internet et des réseaux sociaux, l’anonymat sur Internet n’existe pas en général. « Cette forme d’anonymat n’est que relative. Il est en effet relativement facile, en cas de nécessité, d’identifier une personne compte tenu des nombreuses traces numériques qu’elle laisse (adresse IP, données de géolocalisation, etc.). La LCEN [loi de 2004 pour la confiance dans l’écono-mie numérique, ndlr] prévoit l’obligation de fournir à la justice les adresses IP authentifiantes des auteurs de message haineux et plusieurs dispositifs normatifs, dont la directive dite “Police-Justice”, obligent les opérateurs à conserver de telles données : en pra-tique, les opérateurs répondent généralement sans difficulté aux réquisitions judiciaires pour communiquer l’adresse IP. Les obstacles rencontrés existent mais apparaissent finalement assez limités : la possibilité de s’exprimer sur Internet sans laisser aucune trace paraît donc à ce jour réservée aux “geeks” les plus aguerris [utilisant notamment le navigateur Tor garantissant l’anonymat de ses utilisateurs, ndlr] ».
La pseudonymisation, comme le définit d’ailleurs l’article 4 paragraphe 5 du règlement général européen sur la protection des données (RGPD), est un traitement de données personnelles réalisé de manière à ce que l’on ne puisse plus attribuer les données à une personne physique identifiée sans information supplémentaire. « En pratique, rappellent les sages du Palais-Royal, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénoms, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. Contrairement à l’anonymisation, la pseudonymisation est une opération réversible : il est possible de retrouver l’identité d’une personne si l’on dispose d’informations supplémentaires ». Sans remettre en cause l’anonymat de l’expression, le Conseil d’Etat propose notamment la généralisation du recours aux solutions d’identité numérique et aux tiers de confiance. Et ce, notamment pour mieux protéger les mineurs, vérifier la majorité numérique – laquelle vient d’être fixée en France à 15 ans (5) – et de garantir la fiabilité des échanges sur les réseaux sociaux. La Cnil, présidée par Marie-Laure Denis (photo ci-contre), veut préserver l’anonymat. Y compris lorsque les sites pornographiques vérifient l’âge de leurs utilisateurs, sous le contrôle de l’Arcom. Pour cela, la Cnil préconise depuis juin 2021 le mécanisme de « double anonymat » (6) préféré à la carte d’identité. Ce mécanisme empêche, d’une part, le tiers de confiance d’identifier le site ou l’application de contenus pornographiques à l’origine d’une demande de vérification et, d’autre part, l’éditeur du site ou de l’application en question d’avoir accès aux données susceptibles d’identifier l’utilisateur (7). Quant au contrôle parental, il sera activé par défaut en France sur tous les terminaux à partir du 13 juillet 2024, selon le décret « Renforcer le contrôle parental sur les moyens d’accès à Internet » du 11 juillet paru 13 juillet (8).

« Couper les réseaux sociaux » (Macron)
« Quand les choses s’emballent pour un moment, [on peut] se dire : on se met peut-être en situation de les réguler ou de les couper », a lancé Emmanuel Macron de l’Elysée, le 4 juillet dernier, devant un parterre de 300 maires de communes touchées par les émeutes déclenchées par le meurtre du jeune Nahel. Face au tollé provoqué par ce propos digne d’un régime autoritaire à la Corée du Nord, à l’Iran ou à la Chine, le porte-parole du gouvernement Olivier Véran a dû rétropédaler en ne parlant plus que de « suspensions de fonctionnalités » comme la géolocalisation. Si couper les réseaux sociaux est faisable techniquement, avec l’aide des fournisseurs d’accès à Internet (FAI), la décision de le faire risque d’être illégale au regard des libertés fondamentales qui fondent une démocratie. @

Charles de Laubier

Protection des données : après 5 ans de mise à l’épreuve du RGPD, son réexamen sera le bienvenu

Publié le par

En attendant le réexamen en 2024 du règlement sur la protection des données (RGPD), les entreprises peinent à remplir certaines de leurs obligations, comme celle de transparence envers les utilisateurs, et doivent faire face au détournement du droit d’accès aux données et à la déferlante de l’IA.

Par Sandra Tubert, avocate associée, Algo Avocats

Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (1). La couverture médiatique dont il a fait l’objet a permis de sensibiliser les Européens à la protection de leurs données à caractère personnel, mais également au RGPD de s’imposer comme une référence pour les Etats étrangers ayant adopté une loi similaire. Pour autant, avec un recul d’un peu plus de cinq ans, le RGPD peine à remplir pleinement certains des objectifs fixés.

Internautes concernées mieux informés
Dans la lignée de la directive « Protection des données personnelles » de 1995 qui l’a précédée (2), le RGPD n’a pas choisi la voie de la patrimonialisation des données à caractère personnel. Le législateur européen n’a en effet pas créé de droit à la propriété sur les données à caractère personnel, mais s’est plutôt orienté vers une approche de protection des données permettant aux personnes concernées d’avoir une certaine maîtrise de l’utilisation faite de leurs données à caractère personnel. Deux objectifs principaux ont été associés à cette approche : renforcer la transparence sur les traitements réalisés et fournir des droits supplémentaires aux personnes concernées. C’est ainsi que le RGPD est venu renforcer l’obligation faite aux responsables du traitement de fournir une information détaillée sur les traitements mis en œuvre (3). L’objectif affiché était louable : une transparence accrue afin de permettre aux individus de comprendre en amont l’utilisation envisagée de leurs données par les entreprises et ainsi d’en avoir la maîtrise en leur laissant la possibilité d’effectuer un choix éclairé : refuser la communication de leurs données, s’opposer à certains traitements, ou bien encore donner leur consentement à la réalisation de certaines activités.
En pratique, les entreprises ont l’obligation de fournir l’intégralité des informations prévues par le RGPD de façon concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Or répondre à ces impératifs de manière conforme à ce qui est attendu par les autorités de contrôle – comme la Commission nationale de l’informatique et des libertés (Cnil) en France – est l’une des premières difficultés que cinq ans de pratique du RGPD ont fait émerger. En effet, les organisations ont des difficultés à concilier les exigences de fourniture d’une information exhaustive et très technique – notamment concernant les bases légales du traitement et les garanties fondant les transferts des données hors de l’Union européenne (4) – avec celles de clarté et de concision. Ainsi, au titre des effets pervers de cette obligation de transparence accrue, les citoyens européens font face à des politiques de confidentialité toujours plus longues, rédigées en des termes trop techniques ou trop juridiques. De l’autre côté, les autorités de protection des données n’hésitent pas à sanctionner les manquements à cette obligation, puisque le « défaut d’information des personnes » figure parmi les manquements les plus fréquemment sanctionnés par la Cnil (5).
Cette obligation a été couplée à la fourniture de droits supplémentaires aux personnes, toujours dans une optique de leur offrir une meilleure maîtrise de leurs données. En pratique, le RGPD a repris les droits existants depuis la directive « Protection des données personnelles » (droits d’accès, de rectification, d’opposition), consacré le droit d’effacement (6) et créé de nouveaux droits (droits à la limitation du traitement et à la portabilité des données). La sensibilisation du grand public à l’existence de ces droits, grâce notamment aux actions de la Cnil et au traitement médiatique, ont eu pour effets la réception, par les entreprises, de demandes fondées sur les droits issus du RGPD de plus en plus nombreuses. Par ricochet, les autorités de protection des données ont, elles aussi, vu le nombre de plaintes déposées auprès de leurs services augmenter considérablement (7). Ainsi, la Cnil a reçu 12.193 plaintes en 2022 contre 7.703 en 2016. L’objectif fixé par le RGPD semble donc atteint sur ce point.

Droit d’accès : instrumentalisation
Néanmoins, ces dernières années ont également été témoin du détournement du droit d’accès, aussi bien dans la sphère sociale que commerciale. En effet, les entreprises reçoivent de plus en plus de demandes de droit d’accès dont l’objectif n’est pas de vérifier l’existence et la licéité du traitement des données, mais au contraire de se constituer des preuves dans le cadre d’un précontentieux ou d’un contentieux à l’encontre de l’entreprise. Cette instrumentalisation est parfaitement connue des autorités qui ont toutefois réaffirmé (8) que, dans le cadre de l’évaluation des demandes reçues, le responsable du traitement ne devait pas analyser l’objectif du droit d’accès en tant que condition préalable à l’exercice de ce droit et qu’il ne devait pas refuser l’accès au motif que les données demandées pourraient être utilisées par la personne pour se défendre en justice. Les entreprises n’ont ainsi d’autres choix que de donner suite à ces demandes, en restreignant la nature des données communiquées aux seules données relatives à la personne concernée et en veillant à ne pas porter atteinte aux droits des tiers (9).

Des obligations de sécurité renforcées
La protection des données à caractère personnel passant nécessairement par la sécurité de celles-ci, le RGPD est venu renforcer les obligations à la charge des entreprises au moyen de deux mécanismes assez efficaces : l’obligation pour les responsables du traitement de notifier les violations de données aux autorités de contrôle (10), voire directement aux personnes concernées, respectivement lorsqu’elles présentent des risques ou des risques élevés pour les personnes; l’obligation pour les responsables du traitement et les sous-traitants (11) de mettre en œuvre des mesures de sécurité appropriées aux risques présentés par le traitement.
Il est assez difficile de déterminer si les objectifs de sécurisation des données fixés par le RGPD sont atteints. Néanmoins, dans un contexte où les attaques par rançongiciel (ransomware) se multiplient chaque année (12), les autorités de contrôle sont particulièrement vigilantes quant au respect de ces deux obligations. En témoigne notamment le fait qu’en 2022, un tiers des sanctions prononcées par la Cnil concernait un manquement à l’obligation de sécurité. Ce même manquement a conduit cette dernière à prononcer sa première sanction publique à l’encontre d’un sous-traitant (13), un éditeur de logiciel, pour un montant de 1,5 million d’euros. Elle n’a pas non plus hésité à sanctionner une entreprise qui n’avait pas informé les personnes concernées de la violation de données intervenue, alors qu’elle présentait un risque élevé pour ces dernières.
Sur le respect de l’obligation de notification des violations de données, il est assez difficile de tirer de réels enseignements des chiffres disponibles, même si l’on constate des disparités importantes quant au nombre de notifications de violation de données réalisées chaque jour en fonction des pays. A titre d’exemple, il y a environ 14 notifications par jour en France, contre 27 notifications par jour au Royaume-Uni.
Cette disparité se retrouve également dans le nombre de sanctions prononcées chaque année par les autorités de contrôle et l’approche suivie par ces dernières. Si l’autorité espagnole prononce énormément de sanctions, l’autorité irlandaise est régulièrement épinglée (y compris par ses homologues) pour sa clémence et le peu de sanctions prononcées depuis l’entrée en application du RGPD, alors même qu’elle fait office d’autorité chef de file de la plupart des GAFAM (14). C’est finalement sur ce point que le RGPD peine à convaincre et à remplir pleinement ses objectifs, à savoir inciter les entreprises à se mettre en conformité au moyen d’un arsenal répressif dissuasif. En effet, à l’exception des quelques fortes sanctions (dont la dernière en date de 1,2 milliard d’euros à l’encontre de Meta), prononcées principalement à l’encontre des GAFAM et des géants du Net, les sanctions à l’encontre des sociétés sont moins fréquentes que ce qui était escompté par les associations de protection des données. Et les montants des sanctions financières sont assez éloignés des montants maximums encourus (4 % du chiffre d’affaires mondial consolidé). En France, en dehors des sanctions prononcées à l’encontre des GAFAM (dont beaucoup pour des manquements en matière de cookies, non régulés par le RGPD) et très récemment de Criteo (40 millions d’euros), le montant des sanctions prononcées par la Cnil sur le fondement du RGPD oscille depuis cinq ans entre 125.000 et 3 millions d’euros (15).
L’association Noyb (16), à l’origine de nombreuses sanctions prononcées en Europe au cours des cinq dernières années, dénonce une certaine résistance des autorités de contrôle et des tribunaux nationaux dans l’application effective du RGPD (17). Elle appelle à suivre l’initiative de la Commission européenne d’adopter un règlement sur les règles de procédure relatives à l’application du RGPD (18), ce qui permettrait selon Noyb d’uniformiser l’approche procédurale des autorités et ainsi de favoriser une meilleure application du RGPD.
Par ailleurs, si les entreprises ont pu craindre la multiplication des actions de groupe en matière de protection des données, cette modalité d’action est à l’heure actuelle peu utilisée par les associations de protection des données. En France, seulement deux actions de groupe ont été portées devant les juridictions : l’ONG Internet Society France contre Facebook et l’association UFC-Que-Choisir contre Google. Ce qui pourrait changer au regard des dernières annonces faites par Noyb suite à l’entrée en application des dispositions issues de la directive « Recours collectifs » de 2020 (19).

Vers un réexamen du RGPD en 2024
Enfin, le paysage législatif européen pourrait également avoir un impact sur l’application du RGPD. En effet, plusieurs textes européens adoptés récemment (DSA, DGA) ou en cours d’adoption (DA, AIA) ont des champs d’application recoupant celui du RGPD, ce qui va notamment nécessiter de veiller à garantir leurs bonnes articulations. A cette occasion, ou au titre de l’article 97 du RGPD (réexamen tous les 4 ans à compter du 25 mai 2020), il serait souhaitable de voir le législateur européen adresser certaines des difficultés rencontrées par les entreprises dans la mise en application pratique du RGPD. @