Cookies : l’écosystème de la publicité ciblée s’organise en attendant la recommandation finale de la Cnil

C’est en avril que la Cnil devrait publier sa recommandation finale sur « les modalités pratiques de recueil du consentement » des utilisateurs au dépôt de « cookies et autres traceurs » sur leurs terminaux. Retour sur le projet de recommandation, qui est contesté par les éditeurs et les publicitaires.

Par Sandra Tubert et Laura Ziegler, avocates associées, BCTG Avocats

Alors que l’adoption du règlement européen « ePrivacy » patine depuis déjà trois ans (1), certaines « Cnil » européennes – allemande, anglaise, française, espagnole et grecque – ont décidé de prendre les devants en adoptant leurs propres lignes directrices sur les règles attendues en matière de cookies et autres technologies de traçage. En juin 2019, en France, la Cnil (2) a annoncé son plan d’action en matière de publicité ciblée. Au menu : l’adoption de lignes directrices dans une délibération datée du 4 juillet 2019 rappelant les règles de droit applicables en matière de cookies (3), complétées d’un projet de recommandation publié le 14 janvier dernier précisant les modalités concrètes de recueil du consentement.

Un cadre plus strict et peu pragmatique
Ce projet de recommandation (4), dont la version finale devrait être adoptée courant avril, a été soumis à consultation publique, laquelle s’est achevée le 25 février avec un taux de participation étonnement très relatif (5). L’abandon de la poursuite de la navigation comme modalité valide de recueil du consentement – modalité qui prévalait jusqu’alors puisque préconisée dans la recommandation de la Cnil de 2013 – est l’une des annonces phares de la Cnil. En effet le consentement tel que défini dans le règlement général européen sur la protection des données (RGPD) doit être spécifique, éclairé, univoque et libre (6). Pour satisfaire à ces quatre critères, la Cnil détaille dans ses deux textes ses attentes vis-à-vis des professionnels pour recueillir un consentement valide pour le dépôt et la lecture de cookies. Elle prend néanmoins le soin de préciser, dans son projet de recommandation, que les exemples de modalités pratiques y figurant ne sont ni prescriptifs ni exhaustifs. Les professionnels peuvent donc choisir d’autres modalités, dès lors qu’elles sont conformes aux exigences de qualité du consentement posées par le RGPD. Il est alors surprenant de constater que malgré cette annonce et le délai de grâce de six mois laissé aux sociétés pour se mettre en conformité, la Cnil précise sur son site Internet : que des contrôles seront mis en place six mois après l’adoption de sa recommandation définitive pour en vérifier le respect pratique, et que le respect des règles en matière de cookies est l’un des trois axes prioritaires du plan de contrôle pour 2020 de la Cnil (7). Ce projet de recommandation a également été l’occasion pour la Cnil d’insérer, dans chacune des sections, des « bonnes pratiques » qui sont en réalité – et de son propre aveu – des pratiques « permettant d’aller au-delà des exigences légales » (8). Concernant le premier critère, à savoir le caractère éclairé du consentement, celui-ci s’entend comme la fourniture – au moyen de termes simples et compréhensibles par tous – d’une information sur les différentes finalités pour lesquelles les cookies seront utilisés, les acteurs qui les utiliseront et la portée du consentement. Pour satisfaire ce point, exit les terminologies juridiques ou techniques complexes ou le simple renvoi vers les conditions générales d’utilisation (CGU) : la Cnil attend la fourniture d’une information complète, lisible et mise en évidence au moment du recueil du consentement. En pratique, cela signifierait une information en deux niveaux.
• Dans le premier niveau d’information, il s’agit de mettre à disposition de façon succincte l’identité du ou des responsables du traitement (avec un lien ou un bouton renvoyant à la liste complète des sociétés utilisant les cookies), les finalités des cookies mises en avant dans un intitulé court, accompagné d’un bref descriptif (ainsi que la possibilité d’accéder à une description plus détaillée sur le second niveau via un bouton ou un lien hypertexte), et le droit de retirer son consentement.
• Dans le second niveau d’information, accessible via un lien hypertexte ou un bouton depuis le premier niveau d’information, sont attendues deux listes exhaustives : celles sur les responsables de traitement utilisant des cookies et celles des sites web et applications tiers où la navigation des utilisateurs est suivie. Et c’est bien là toute la nouveauté et la complexité des attentes de la Cnil en la matière.

Fini les seuls boutons « Accepter »
De l’avis général, l’écosystème de la publicité ciblée est un système relativement complexe impliquant un nombre considérable d’acteurs. Attendre de l’éditeur d’un site web, la tenue et la mise à jour de ces deux listes et l’obtention d’un nouveau consentement de l’utilisateur en cas d’ajouts de responsables du traitement qualitativement ou quantitativement substantiel semble peu réaliste et laisse par ailleurs à l’appréciation de chacun le caractère substantiel des changements opérés. Toute cette information doit naturellement être fournie aux utilisateurs sans avoir recours à la pratique des cookies walls, reconnue non valide par la Cnil et le Comité européen de la protection des données (CEPD), puisque non compatible avec le caractère libre du consentement. C’est par ailleurs ce qui pousse la Cnil à préciser que l’utilisateur doit avoir la possibilité d’accepter ou de ne pas accepter le dépôt de cookies pour que l’on puisse valablement considérer que son consentement est « libre ». Pour ce faire, les mêmes modalités techniques et de présentation doivent s’appliquer à la capacité de consentir ou de refuser (9). Fini donc les boutons « Accepter » mis en évidence et les petits liens « En savoir plus », dont l’identification incertaine était laissée au soin des utilisateurs, lesquels devaient en déduire qu’ils étaient là pour paramétrer ou refuser le dépôt de cookies. Désormais, l’utilisateur devra se voir proposer des boutons identiques pour refuser ou accepter le dépôt de cookies.

Des délibérations et exigences critiquées
Par ailleurs, le consentement et le refus de consentement devront être enregistrés pour une durée identique – de 6 mois d’après la Cnil – de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur, afin de ne pas le pousser par cette pression répétée à accepter par lassitude. Pour répondre au caractère spécifique du consentement, la Cnil exige également qu’il soit possible pour l’utilisateur de consentir de manière granulaire pour chaque finalité distincte. Différentes modalités semblent acceptées par l’autorité de contrôle : soit sur le premier niveau d’information, soit sur le second. Le consentement global – et donc le bouton « Tout accepter » – est toutefois possible à condition : d’avoir présenté toutes les finalités au préalable, de permettre de consentir par finalité, et de proposer également la possibilité de refuser de façon globale. En pratique donc, devraient fleurir des boutons « Tout accepter », « Tout refuser » et « Paramétrer/Personnaliser », de même taille, de même police et mis en évidence de manière identique pour être conforme aux exigences de la Cnil.
Enfin, pour respecter le caractère univoque comme le caractère libre, la Cnil interdit la pratique des cases pré-cochées, des interrupteurs sur la position activée par défaut et l’acceptation des cookies par les CGU, l’objectif étant que l’utilisateur effectue un acte positif pour mieux prendre conscience du choix qu’il réalise. Les attentes de la Cnil sont donc extrêmement exigeantes envers les éditeurs de sites web et d’applications mobiles, d’autant plus que ces deux délibérations – lignes directrices du 4 juillet 2019 et projet de recommandation – sont à l’heure actuelle assez éloignées des pratiques existantes sur le marché. Il n’est dès lors pas étonnant qu’elles aient fait l’objet de vives contestations par les acteurs de l’écosystème : recours devant le Conseil d’Etat (10) déposé le 18 septembre 2019 par neuf grandes associations professionnelles contre les lignes directrices de la Cnil ; tribunes, lettres ouvertes et prises de position (11) du Collectif pour les acteurs du marketing digital (CPA), de l’Udecam (12) et du Geste (13), reprochant à la Cnil de ne pas avoir pris en compte les propositions des représentants exprimées lors de la concertation engagée par la Cnil entre la publication des lignes directrices et l’adoption du projet de recommandation. Outre la contestation des différents acteurs dont le modèle économique s’est construit autour de la publicité ciblée, se pose également la question de la compatibilité de la multiplicité des lignes directrices publiées ces derniers mois par les différentes autorités de contrôles en Europe. Dans un monde globalisé où Internet est par essence transfrontalier, la publication de lignes directrices aux exigences divergentes par les autorités de contrôle européennes pousse les acteurs désireux de se mettre en conformité à des arbitrages, parfois hasardeux, qui ne sont pas souhaitables. Comme pour justifier le contenu de son projet de recommandation, la Cnil a publié en même temps que ce dernier, les chiffres d’un sondage Ifop (14) dont les résultats sont saisissant de paradoxes. En effet, alors que 70 % des personnes interrogées pensent qu’il est indispensable d’obtenir à chaque fois leur accord au risque d’alourdir leur navigation, 65 % pensent que les demandes d’autorisation de dépôt des cookies ne sont pas efficaces pour protéger leur vie privée. Pire encore : 90% considèrent qu’en plus de consentir, elles devraient connaître l’identité des entreprises susceptibles de suivre leur navigation sur le Web via des cookies, alors que différents sondages précisent que 89 % d’entre elles ne prennent pas le temps de lire ce à quoi elles consentent en ligne.
Face aux difficultés de mise en œuvre pratique du projet de recommandation de la Cnil, aux impacts significatifs que ses exigences pourraient avoir, le modèle des cookies se retrouve plus largement questionné. Google a annoncé – le même jour de la publication du projet de recommandation de la Cnil – son intention de faire disparaître les cookies tiers de son navigateur Chrome d’ici deux ans en optant pour une « Privacy Sandbox », tout comme l’avaient auparavant annoncé Apple avec Safari et Mozilla avec Firefox. Même Criteo – sous le coup d’une enquête de la Cnil suite à une plainte de Privacy International (15) – tente de rassurer en annonçant avoir des solutions qui fonctionneraient sans cookies (16).

Paramètres des navigateurs et des OS
Dans ce contexte, on peut légitimement s’interroger sur la nécessité d’utiliser de nouveaux outils qui pourraient permettre, à la fois, de répondre aux enjeux du modèle économique de la publicité ciblée et de protéger plus efficacement la vie privée des utilisateurs. Une publicité « mieux » ciblée, alignée sur les préférences choisies et affichées des utilisateurs en amont, via un medium à déterminer, ne serait-elle pas une piste à explorer ? De son côté, dans ses deux textes, la Cnil semble en appeler à la modification des paramètres des navigateurs et des systèmes d’exploitation (OS), afin que ceux-ci permettent aux utilisateurs d’exprimer leurs préférences. Cette solution est fortement critiquée par certains acteurs du fait du « monopole » qu’obtiendrait certains GAFAM avec une telle approche. Le débat est ouvert. @

Pour la reconnaissance faciale à distance ou locale, les enjeux éthiques ne sont pas les mêmes

Identifier un visage dans une foule soulève de sérieuses questions sur les libertés individuelles. Mais il existe de nombreux autres usages de la reconnaissance faciale, notamment la validation d’identité en local. Ces utilisations ont vocation à se développer mais posent d’autres questions éthiques.

Par Winston Maxwell* et David Bounie**, Telecom Paris, Institut polytechnique de Paris

L’utilisation de la reconnaissance faciale pour l’identification à distance constitue une menace pour les libertés individuelles, car cela tend à banaliser une société de surveillance. Selon le New York Times, une start-up américaine Clearview AI a déjà fabriqué des gabarits d’identification de 3 milliards d’individus à partir d’images copiées sur le Web (1). N’importe quelle force de l’ordre – mais pas le grand public (2) – peut utiliser le logiciel de Clearview AI et identifier les visages dans une foule. Cependant, plusieurs villes américaines ont temporairement banni cette utilisation de la technologie par leurs autorités publiques.

Outils de surveillance généralisée
En Europe, la Commission européenne appelle à un grand débat européen sur l’utilisation de la reconnaissance faciale pour l’identification à distance. En France, le secrétaire d’Etat au numérique, Cédric O, souhaite lancer des expérimentations. Pour l’identification à distance, il faut avancer à tâtons pour trouver le bon équilibre entre les impératifs de sécurité publique et la préservation des valeurs démocratiques. Mais ce débat n’est pas différent au fond de celui qui, depuis 50 ans, entoure les technologies de surveillance des communications électroniques. La technologie utilisée pour la surveillance des communications n’a pas cessé d’évoluer : IMSI-catchers ou intercepteurs d’IMSI (3), boîtes noires, Deep Packet Inspection (DPI), captation à distance, … Ces outils permettraient une surveillance généralisée de la population. Leur utilisation en France est interdite, sauf par les forces de polices et des autorités de renseignement sous le contrôle de juges et de la CNCTR (4).
En application de la jurisprudence européenne, l’utilisation de technologies invasives de surveillance par l’Etat se justifie uniquement si l’utilisation est prévue par une loi. Et ce, pour faire face à une menace particulièrement grave, la lutte contre le terrorisme par exemple, et sous le contrôle d’un juge ou d’une commission indépendante. L’utilisation de la reconnaissance faciale pour identifier les individus à distance devrait suivre la même trajectoire : interdiction, sauf pour les autorités de police ou de renseignement sous le contrôle des juges. D’ailleurs, c’est déjà ce qui est prévu par la directive européenne européenne dite « Police-Justice » (5) de 2016, puisque la reconnaissance faciale est un traitement biométrique soumis à des règles strictes. Mais il existe un deuxième type d’utilisation, non-évoqué par la Commission européenne dans son livre blanc (6) sur l’intelligence artificielle (IA). Il s’agit de valider l’identité « en local » d’un individu en comparant sa photo « selfie » avec la photo de la pièce d’identité. Cette utilisation permet notamment d’ouvrir un compte bancaire à distance ou bien de passer plus vite dans un portique automatique à l’aéroport. Cette utilisation de la reconnaissance faciale se généralise, et elle paraît – de prime abord – moins attentatoire aux libertés individuelles : d’une part, parce que les personnes sont conscientes et consentantes de l’utilisation (ce qui n’est pas le cas pour l’identification à distance) ; d’autre part, parce qu’aucune image ni gabarit biométrique n’est stocké de manière centralisée. La vérification s’effectue en local, comme pour déverrouiller un smartphone avec l’empreinte digitale. Le système crée un gabarit biométrique à partir de la photo du passeport, analyse ensuite la photo de selfie, crée un deuxième gabarit biométrique du selfie, et compare les deux gabarits pour établir une probabilité de correspondance. Ensuite les gabarits sont détruits (lire encadré page suivante). La reconnaissance faciale locale soulève néanmoins des questions éthiques et juridiques importantes : l’existence d’un consentement libre, le problème des biais, l’explicabilité des algorithmes, et la difficile articulation avec le règlement général sur la protection des données (RGPD) pour la phase d’entraînement. La reconnaissance faciale « locale » pose la question du consentement libre. Si la personne subit des conséquences négatives en refusant la reconnaissance faciale, le consentement ne sera pas libre. Il en sera de même si le consentement est demandé par une personne jouissant d’une position d’autorité, par exemple si la direction d’un lycée demandait aux élèves de consentir à l’utilisation de la reconnaissance faciale pour rentrer dans l’établissement (7).

Les biais statistiques sont inévitables
Concerne les biais cette fois, le Parlement européen a appelé le 12 février 2020 à l’utilisation d’algorithme qu’il faut entraîner avec des données « non-biaisées » (8). Or, une telle condition est impossible à satisfaire en pratique. Certains groupes de la population seront toujours sous-représentés dans les images d’entraînement, ce qui signifie que les biais statistiques seront inévitables. Cela peut conduire à des niveaux de performance inégaux selon le genre, la couleur de peau ou la situation de handicap d’une personne. Par exemple, l’algorithme pourrait avoir plus de difficulté à identifier une femme noire qu’un homme blanc au moment de la vérification de l’identité à l’aéroport. Ces biais peuvent exister sous une forme bien pire chez les humains. Mais pour un algorithme, ce genre de biais est peu acceptable. Corriger ces biais dans l’algorithme est possible, mais cela soulève d’autres questions. Par exemple, si l’algorithme a un taux d’erreur élevé pour des personnes atteintes d’une certaine maladie de la peau, devons-nous baisser artificiellement le niveau de performance pour tous les autres groupes de la population pour que le taux d’erreur soit équivalent ? Ces questions deviennent rapidement politiques : à partir de quel moment un biais algorithmique devient-il suffisamment problématique pour le corriger, ce qui affectera inévitablement la performance de l’algorithme pour les autres personnes ?

Savoir s’il y a discrimination algorithmique
Un autre aspect éthique de la reconnaissance faciale concerne l’explicabilité des algorithmes. En France, le code des relations entre le public et l’administration garantit à chaque individu le droit d’obtenir une explication lorsqu’un algorithme géré par l’Etat prend une décision à son encontre (9). Logiquement, ce droit exige que l’exploitant de l’algorithme soit en mesure d’expliquer à une personne pourquoi un système n’a pas pu vérifier son image par rapport à sa pièce d’identité. Techniquement, des solutions d’explicabilité existent, même pour des réseaux de neurones. Mais fournir une explication exige le stockage d’informations, et notamment les gabarits générés par l’algorithme. Or, le RGPD et la directive « Police- Justice » interdisent généralement ce stockage, surtout lorsqu’il s’agit de données biométriques.
Résultat : dans certains cas, il n’y aura aucune explication quant au refus du système de vérifier l’identité. Le système ne réussira pas à identifier la personne, sans que la personne puisse vérifier si elle a fait l’objet d’une discrimination algorithmique. Cette absence de transparence pose une difficulté au niveau des droits fondamentaux, comme le démontre une récente décision du tribunal de la Haye (10).
Enfin, l’entraînement des algorithmes de reconnaissance faciale est difficile à réconcilier avec le RGPD. Pour réduire les discriminations, l’Agence européenne des droits fondamentaux (FRA) souligne la nécessité d’entraîner l’algorithme sur une grande quantité d’images représentatives de la population, et notamment les personnes vulnérables (11). Or cette condition est quasiment impossible à remplir en Europe puisque le RGPD et la directive « Police-Justice » interdisent la création de grandes bases d’images, surtout lorsque les images sont étiquetées selon la couleur de peau ou la situation de handicap. Les systèmes américains et chinois bénéficient, eux, d’entraînement sur des dizaines de millions d’images, ce qui crée un avantage concurrentiel considérable. De plus, les tests de non-discrimination des algorithmes s’effectuent tous aux Etats-Unis à l’agence NIST (12), même pour les systèmes européens.
L’entraînement des algorithmes pose un problème particulier puisque le gabarit d’un visage est considéré comme une donnée biométrique. Or le RGPD interdit le traitement de données biométriques, hormis des cas limités – par exemple, le consentement explicite de la personne. Du coup, un entraînement sur des millions d’images récupérées sur Internet devient impossible par une société européenne puisque l’entraînement nécessite la création, au moins temporaire, de gabarits, une donnée biométrique. Une solution pourrait consister en l’assouplissement des conditions d’application du RGPD lorsqu’il s’agit de créer des gabarits éphémères pour l’apprentissage des algorithmes dans des environnements contrôlés, voire de considérer que ces gabarits ne sont pas des données biométriques puisque la finalité de leur traitement n’est pas l’identification d’une personne mais seulement l’entraînement de l’algorithme. Lorsque l’algorithme est mis en exploitation, les dispositions du RGPD ou de la directive « Police-Justice » sur la biométrie retrouveraient toute leur force, puisque les gabarits seraient bien utilisés pour identifier des personnes. Le consentement explicite de la personne, ou en cas d’intérêt public et de nécessité absolue, serait alors nécessaire. @

* Winston Maxwell, ancien avocat, est depuis juin 2019 directeur d’études
Droit et Numérique à Telecom Paris. ** David Bounie est directeur du
département Economie et Sciences sociales à Telecom Paris.

ZOOM

Qu’est-ce qu’un gabarit ?
Un gabarit est l’équivalent d’un code barre qui contient les mensurations uniques d’un visage. La clé du succès en matière de reconnaissance faciale est de créer un algorithme capable de générer des gabarits de qualité à partir d’images d’individus. Un algorithme de qualité doit savoir générer le même gabarit pour l’image de Paul, quelles que soient les différences de lumière, d’angle de vue et de netteté de l’image de Paul. Pour entraîner l’algorithme, on va présenter à un réseau de neurones 100 photos d’une même personne — par exemple Angelina Jolie — récupérées sur le Web, avec des angles de vue et des lumières différents, et demander au réseau de neurones de trouver une formule mathématique qui permettra pour chaque photo d’Angelina Jolie de générer le même gabarit, quels que soient l’angle de vue ou la lumière. Les gabarits générés pendant l’apprentissage sont éphémères. Ils servent uniquement à aider l’algorithme à trouver la bonne formule mathématique. Une fois cette formule mathématique unique établie, elle peut s’appliquer à n’importe quelle nouvelle photo de passeport et générer, pour cette photo, un gabarit de qualité. L’algorithme va ensuite générer un deuxième gabarit à partir d’une deuxième photo (par exemple un selfie), et si l’algorithme est bien fait, les deux gabarits vont correspondre malgré les différences d’angle de vue et de lumière. La qualité de cet algorithme est au cœur des systèmes de reconnaissance faciale. @

A la demande des industries créatives, les Etats-Unis déclarent la guerre à la contrefaçon et au piratage

La peur va-t-elle changer de camp aux Etats-Unis ? Le président Donald Trump entend donner des gages aux industries créatives en déclarant la guerre à la contrefaçon et au piratage de produits, y compris en ligne. Les plateformes de e-commerce devront coopérer. Mais le risque liberticide existe.

Fabrice Lorvo*, avocat associé, FTPA.

Au commencement de la révolution numérique, les acteurs de l’Internet, par philosophie ou par appât du gain, se sont opposés à toute régulation au nom de la liberté. Cependant, se pose avec persistance l’éternelle question : « Peut-il y avoir de liberté sans contrainte ? ». Dans les faits, le cyberespace est devenu un terreau fertile sur lequel a pu prospérer tant la contrefaçon que la piraterie.

Contrefaçon : plus de 1.000 milliards de $
Le contrefacteur est celui qui vend au public une copie de produits originaux copiés ou imités, alors que le pirate met à la disposition du public, sans autorisation du titulaire des droits, une œuvre ou un événement protégé et en tire un revenu ou un avantage direct de son activité, par exemple par abonnement ou par la publicité. D’un point de vue général, la vente de produits contrefaits et piratés – via des plateformes de commerce électronique et des marchés tiers en ligne – est une entreprise très rentable. En 2018, d’après une étude publiée par Bascap (1) et Frontier Economics (2), le montant des ventes mondiales des produits de contrefaçon était estimé en 2013 entre 710 et 917 milliards de dollars (3), et il est prévu qu’il atteindra 1.000 à 1.220 milliards de dollars d’ici 2022.
Pour les contrefacteurs, les coûts de production sont faibles. Internet permet d’accéder à des millions de clients potentiels. Le processus transactionnel est simple et le référencement sur des plateformes de notoriété internationale confère une apparence de légalité. De plus, les risques sont faibles car les contrefacteurs peuvent être résidents de pays dans lesquels cette activité illégale est peu poursuivie ou peu sanctionnée, que ce soit sur le plan civil ou pénal.
L’industrie numérique est aussi directement touchée. L’étude démontre que le montant des ventes mondiales des produits numériques piratés en 2015 était de 213 milliards de dollars (dont 160 milliards pour les films, 29 milliards pour la musique et 24 milliards pour les logiciels). Il est prévu qu’il atteindra d’ici 2022 entre 384 et 856 milliards de dollars (dont entre 289 et 644 milliards pour les films, entre 42 et 94 milliards pour la musique, et entre 42 et 95 milliards pour les logiciels).
Les réseaux sociaux sont eux-aussi concernés par la prolifération des contrefaçons. Selon un rapport de Ghost Data paru en 2019, près de 20 % des articles analysés sur les produits de mode sur Instagram comportaient des produits contrefaits ou illicites (4). Plus de 50.000 comptes Instagram ont été identifiés comme faisant la promotion et la vente de contrefaçons, une augmentation de 171 % par rapport à 2016. Ce phénomène est notamment justifié par les fonctionnalités proposées par les réseaux sociaux. Sur Instagram, par exemple, la recherche de certains biens est facilitée par l’utilisation des noms des marques de luxe dans les hashtags, les fameux mots-dièse. Les résultats de ces recherches mêlent cependant, à l’insu des utilisateurs, des produits contrefaits et des produits authentiques. Il est donc difficile de les différencier. De plus, la fonctionnalité « Story » d’Instagram est très utilisée par les vendeurs de contrefaçons car le contenu publié disparaît en vingt-quatre heures, ce qui permet de vendre rapidement et de disparaître.
Le 3 avril 2019, le président des Etats-Unis a publié un « Memorandum sur la lutte contre le trafic de marchandises contrefaites et piratées » (5) dans lequel il demandait un rapport faisant des recommandations pour lutter plus efficacement contre le trafic de marchandises contrefaites et piratées, y compris en ligne. Le 10 juillet 2019, le département du Commerce américain (DoC) a publié un appel à contribution (6) pour obtenir du secteur privé – détenteurs de droits de propriété intellectuelle, des plateformes de marchés en ligne et autres parties prenantes – leurs commentaires sur l’état de la contrefaçon et de la piraterie et leurs recommandations pour freiner ledit trafic.

Les exigences des industries culturelles
En août 2019, plusieurs associations professionnelles américaines de l’industrie créatrice – à savoir la MPAA (7), l’IFTA (8), CreativeFuture (9), et le Sag-Aftra (10), ont répondu à cet appel en demandant à l’administration :
• de continuer d’exhorter les plateformes de contenus et les intermédiaires Internet à collaborer avec la communauté créative sur les meilleures pratiques volontaires pour lutter contre la violation du droit d’auteur ;
• d’encourager le département de la Justice (DoJ) à engager des poursuites pénales contre les entités impliquées dans une violation du droit d’auteur en ligne ;
• de persister à faire pression sur l’Icann (11) pour rétablir l’accès aux données « Whois » (12), accès qui serait entravé par une application excessive du RGPD européen, et d’adopter une loi si l’Icann ne parvient pas à le faire rapidement ;
• et d’élever le niveau de protection des droits d’auteur à l’étranger par le biais de négociations commerciales.

Les recommandations du « Homeland Security »
Le 24 janvier 2020, le département de la Sécurité intérieure des Etats-Unis – le « Homeland Security » (DHS) – a remis au président américain Donald Trump un rapport intitulé « Combattre le trafic de produits contrefaits et piratés » (13). Il conclut qu’il est essentiel, pour l’intégrité du commerce électronique et pour la protection des consommateurs et des titulaires de droits, que les plateformes de e-commerce et autres intermédiaires tiers assument un plus grand rôle, et donc une plus grande responsabilité dans la lutte contre le trafic de marchandises contrefaites et piratées. Ce rapport préconise de prendre immédiatement les mesures suivantes :
• S’assurer que les entités ayant des intérêts financiers dans les importations aux Etats-Unis assument une responsabilité. Elles devront apporter un soin raisonnable dans la lutte contre la piraterie. De plus, les entrepôts et les centres de distribution situés aux Etats-Unis seront considérés comme les destinataires finaux pour tout bien qui n’a pas été vendu à un consommateur spécifique au moment de son importation.
• Accroître l’examen du périmètre de l’article 321 (texte qui permet l’admission de produits en franchise de droits si sa valeur n’excède pas 800 dollars) pour obtenir plus d‘informations sur l’identité des tiers vendeurs. A défaut d’information, la responsabilité pèsera sur l’entrepôts ou le centre de distribution présent sur le sol américain.
• Lutter contre les acteurs de la fraude. Pour les acteurs directs, en excluant les récidivistes de la piraterie de toute participation aux marchés publics américains et/ou de pouvoir obtenir un numéro d’importateur pour les Etats-Unis. Pour les acteurs indirects, en adoptant des mesures de non-conformité dans l’utilisation du courrier international et en agissant contre les postes internationales qui ne les respecteraient pas.
• Renforcer la responsabilité des intermédiaires, dont les plateformes Internet, en appliquant des sanctions (amendes civiles, pénalités et injonctions), dès lors qu’il est prouvé qu’ils ont illégalement participé à l’importation de produits contrefaits.
• Améliorer la collecte des données concernant l’arrivée des produits contrefaits aux Etats-Unis par l’intermédiaire du courrier international.
• Créer un « Consortium anti-contrefaçon pour identifier les acteurs en ligne néfastes », et ce, en collectant les données auprès des acteurs tiers (plateformes, intermédiaires tiers ainsi que les transporteurs, expéditeurs, moteurs de recherche et centres de paiement en ligne). Ces données permettront de créer une technique d’automatisation des risques pour surveiller les plateformes et ainsi identifier les produits contrefaits.
• Augmenter les ressources de l’administration pour surveiller les envois (estimés 500 millions annuellement) par courrier international. Cela permettra, d’une part, de détecter les produits contrefaits, et, d’autre part, d’accroître la collecte des données sur ce type de transaction pour en améliorer la détection.
• Créer un cadre effectif moderne pour le commerce électronique qui pourrait prévoir des immunités pour les plateformes en échange d’un contrôle interne suffisant et de la communication d’informations aux autorités américaines.
• Evaluer, notamment avec le secteur privé, le cadre de la responsabilité des plateformes de e-commerce en cas de contrefaçon par fourniture de moyens.
• Réexaminer le cadre légal entourant les importateurs non-résidents (et notamment leurs agents résidents aux Etats-Unis).
• Etablir une campagne nationale de sensibilisation des consommateurs concernant les risques de contrefaçon (risques directs en cas de produits dangereux et risques indirects en cas, par exemple, de financement du terrorisme), ainsi que les différentes façons dont ils peuvent repérer les produits contrefaits.

En conclusion, le gouvernement américain déclare la guerre à la contrefaçon et à la piraterie et appelle à la mobilisation générale, tant des institutions politiques américaines, des acteurs tiers – dont les plateformes Internet – que des consommateurs situés aux Etats-Unis. Il conviendra de suivre la manière dont ces recommandations vont trouver une transcription dans la législation américaine.

L’Europe devrait avoir son mot à dire
Deux dangers doivent être conservés à l’esprit. D’une part, que la législation américaine devienne le standard international auquel devront se soumettre directement ou indirectement les opérateurs européens : dans cette perspective, une contribution de l’Europe à ce débat s’impose. D’autre part, qu’au nom de la protection du commerce et des consommateurs un vaste plan de collecte de données et de surveillance va probablement être mis en place. Il faudra garder à l’esprit que les modalités techniques de protection de la liberté peuvent aboutir, si l’on y prend garde, à l’anéantissement des libertés fondamentales. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Avec le « RGPD » californien, les GAFAM garderont le pouvoir en 2020 sur les données personnelles

Le partage des données des consommateurs avec les entreprises s’est généralisé en dix ans. Or le droit californien n’avait pas suivi cette évolution, laissant aux entreprises de la Silicon Valley la liberté d’exploiter la vie privée des individus sans contrainte. Ce que change partiellement le CCPA.

Dans le sillage du règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Cette loi applicable dans l’Etat américain le plus peuplé des Cinquante vient renforcer le contrôle des consommateurs californiens sur leurs données personnelles en leur octroyant de nouveaux droits. Et ce, afin de leur permettre de reprendre le contrôle de leurs vies privées.

Droit local d’inspiration populaire
A la suite du scandale Cambridge Analytica et de la fuite massive de données d’Equifax, concernant 143 millions de personnes, soit près de la moitié de la population américaine (1), a été formulée en 2018 une proposition de loi d’initiative populaire visant à protéger les données personnelles des Américains. Deux militants pour la protection de la vie privée, issus de la société civile, l’homme d’affaires Alastair Mactaggart et une juriste spécialiste de droit à la protection de la vie privée, Mary Stone Ross, ont rédigé dès 2017 un projet de loi sous le nom de California Consumer Privacy Act (CCPA) soumis aux électeurs californiens par la voie pétitionnaire (2). Le droit californien permet en effet aux citoyens de cet Etat de faire adopter des textes législatifs ou de provoquer un référendum au niveau local en recueillant 366.000 signatures. Le CCPA a recueilli 600.000 signatures, révélant par là une véritable volonté des Californiens de reprendre le contrôle de leurs vies privées et d’empêcher les intrusions répétées des GAFAM dont ils ont été victimes ces dernières années.
Mise sous pression, la Silicon Valley – dont la collecte des données personnelles est le fer de lance de son modèle économique – a milité auprès des chambres législatives californiennes pour que ces dernières concluent un accord avec les promoteurs du texte et que soit évité un référendum. Le 28 juin 2018, et après moins d’une semaine de débat, la loi initialement proposée a alors été adoptée par le législateur californien sous une version plus timorée que le projet initial. Le texte continue cependant à se heurter à la résistance des entreprises de nouvelles technologies qui militent pour l’adoption d’un texte fédéral moins contraignant. En effet, des lois prises par le Congrès à Washington s’imposeraient sur le droit des Etats fédérés et empêcheraient le CCAP de s’appliquer. Dans le sillage du CCPA, d’autres projets de loi se sont faits jour au niveau fédéral visant à réglementer la collecte des données personnelles des citoyens américains. Certaines propositions sont spécifiques et visent uniquement les données transmises via les réseaux sociaux. D’autres projets sont plus ambitieux dans leur champ d’application et cherchent à imposer un traitement loyal, équitable et non discriminatoire aux responsables de traitements, à l’instar du RGPD. Si aucun de ces projets n’a l’ambition portée par le texte européen, ils s’en inspirent dans la forme et constitueraient néanmoins une avancée considérable dans la conquête des droits des internautes quant au respect de leurs vies privées. Le CCPA intégré dans le Code civil de Californie (3) s’applique à toutes les informations à caractère personnel collectées, électroniquement ou non, auprès de consommateurs.
Les consommateurs sont définis comme des personnes physiques résidant en Californie, ce qui confère un champ d’application aux bénéficiaires du texte aussi large que le RGPD. La loi californienne s’applique donc très largement et pas seulement aux données collectées sur Internet. Toutefois, de façon plus pragmatique que le RGPD, les assujettis du CCPA sont uniquement des entreprises d’envergure. Ces dernières doivent en effet réaliser un chiffre d’affaires annuel supérieur à 25 millions de dollars, ou acheter, vendre ou partager à des fins commerciales des informations personnelles de plus de 50.000 consommateurs, ou encore obtenir plus de 50 % de leurs revenus annuels de la vente d’informations personnelles du consommateur.

Champ d’application du CCPA
Ainsi, les associations comme les petites et moyennes entreprises ne sont pas concernées par le texte. Les pouvoirs publics peuvent également continuer à collecter les données personnelles des individus sans que ceux-ci puissent s’y opposer, même s’il est prévu que les données issues de ces traitements et réutilisées pour d’autres finalités sont des informations sur lesquels les citoyens californiens pourront exercer les droits prévus par le texte. Le texte de loi californien vise les informations à caractère personnel comme les noms, les adresses, le numéro de sécurité sociale, les adresses IP, les renseignements commerciaux (registre de la publicité foncière, historique de crédit, …), les informations biométriques, les historiques de navigation, les données de géolocalisation, les informations audio, électroniques, visuelles, thermiques, olfactives, les informations professionnelles ou liées à l’emploi, ou encore les informations sur l’éducation. Sont également concernées toutes déductions tirées de ces différentes informations afin de créer un profil. Toutefois, un certain nombre de domaines sont exclus du champ d’application de la loi. Il en va ainsi du domaine financier, des agences de notation des consommateurs ou encore des informations visant les conducteurs.

Droits nouveaux pour les Californiens
Pâle copie du RGPD, le CCPA impose des obligations aux entités assujetties et des droits aux citoyens bénéficiaires. L’entreprise qui collecte des données doit informer le consommateur californien sur les catégories de données collectées, les sources auprès desquelles les données sont collectées, les finalités de la collecte et les catégories de tiers avec lesquelles l’entreprise partage les données. Les consommateurs doivent pouvoir exercer leurs droits dans des conditions faciles et gratuites : description du droit d’accès, du droit à l’effacement, du droit à l’égal accès aux services, description des méthodes pour présenter les requêtes. La loi californienne donne aussi aux consommateurs la possibilité de refuser la vente de leurs informations personnelles à des tiers, obligeant les entreprises concernées à publier un lien clair et visible intitulé « Ne pas vendre mes informations personnelles » sur leur site web national ou leur page spécifique à la Californie.
Un consommateur a le droit de demander à une entreprise de supprimer toute information personnelle le concernant que l’entreprise a collectée auprès de lui, et l’entreprise doit répercuter la demande auprès de ses sous-traitants. Toutefois, l’entreprise peut refuser cet effacement pour des raisons légitimes telles que l’exécution du contrat conclu entre l’entreprise et le consommateur. Enfin, la loi californienne confère le droit à un égal accès aux services, interdisant en principe toute discrimination à l’encontre des consommateurs qui exercent leurs droits en vertu de la loi. Les entreprises peuvent cependant être autorisées à appliquer des tarifs différents ou à fournir différents niveaux de service, si ces différences sont en lien raisonnable avec la « valeur fournie au consommateur par les données du consommateur », conférant un droit à la discrimination. Enfin, et à la grande différence du RGPD, les entreprises peuvent proposer des incitations financières – notamment des paiements aux consommateurs à titre de compensation – pour la collecte de leurs données personnelles. Cette option, pour laquelle de nombreux think tank militent en Europe, est à ce stade exclu par l’Union européenne pour qui les données personnelles sont des droits extrapatrimoniaux, incessibles. En cas de non-respect du CCPA, une amende de 2.500 dollars par violation, et de 7.500 dollars si la violation est intentionnelle, est infligée. Ce qui est peu, au regard du chiffre d’affaires des entreprises visées par le texte. Néanmoins, la loi californienne prévoit des dommages et intérêts dans le cadre d’une action intentée par un consommateur, compris entre 100 et 700 dollars par infraction et par consommateur, ce qui peut s’avérer important à l’aune du système de la class action. La procédure des actions collectives, bien éprouvée aux Etats-Unis, devrait en effet pouvoir contraindre les entreprises à respecter cette nouvelle loi, moins pour la sanction financière que pour la mauvaise publicité que représenterait une sanction prononcée à la demande de centaines de milliers de plaignants. A noter qu’en Europe, la commission des Affaires juridiques (JURI) a confirmé en janvier dernier (4) la position de négociation du Parlement européen sur une nouvelle législation introduisant des règles de recours collectif (5). En France, l’action de groupe a été introduite par la loi du 17 mars 2014 sur la consommation (loi dite « Hamon »).
Si le CCPA est timide au regard de l’enjeu que représentent les données personnelles pour les entreprises du numérique, il marque néanmoins un réel progrès quant à la protection des droits des données personnelles des citoyens californiens. Déjà, cette initiative a conduit d’autres Etats à réfléchir à une législation dans ce sens, et une loi fédérale devra inévitablement voir le jour pour éviter des législations disparates au sein d’un même pays. Dans le même temps, le parti communiste chinois a annoncé vouloir protéger les données personnelles de ses citoyens.

Vers des règles internationales unifiées
La collecte des données personnelles représente l’or noir du XXIe siècle et constitue un outil de concurrence majeur au sein du commerce international. Les législations nationales ne manqueront donc pas de s’affronter afin de contraindre les entreprises extérieures à limiter leur pouvoir d’intrusion de la vie privée de leurs citoyens tout en cherchant à poursuivre cette conquête des données, outil indispensable de la compétitivité économique. A moins qu’en guise d’apaisement, le G20 qui se tiendra à Riyad en novembre 2020 mette à son ordre du jour la recherche de règles internationales unifiées, seuls moyens de réguler la tentation intrusive des GAFAM. @

* Alexandre Lazarègue est avocat au Barreau de Paris,
spécialisé en droit du numérique.

Haine sur Internet : la loi Avia veut lutter
contre un fléau sans « privatiser la censure »

Le marathon parlementaire de la future loi « Avia » contre la haine sur Internet n’en finit pas. Rédigé à la va-vite, le texte est controversé. Le délai de retrait de 24 heures – disposition supprimée puis réintégrée (délai ramené à 1 heure dans certains cas) – illustre la valse-hésitation du législateur.

Par Rémy Fekete, avocat associé, cabinet Jones Day

C’était il y a 37 ans… Dans « L’ère du vide » (1), Gilles Lipovetsky s’essayait déjà à analyser jusqu’où l’individualisme emmenait la société contemporaine, à force de tout tourner en dérision, de mettre fin à toute hiérarchie, vers une ère postmoderne. Ce postmodernisme se traduisait selon l’auteur, par une forme d’épuisement des valeurs collectives, de réduction de la violence physique, et globalement une ère de bien-pensance dans laquelle l’engagement laissait place à la tolérance.

Eviter une société schizophrène
Lipovetsky ne pouvait s’imaginer combien la généralisation de l’usage de l’Internet allait décupler cet individualisme, déjà fortifié pendant les années 1980 par les contre-vertus combinées de la crise économique et de l’explosion de la consommation audiovisuelle. De fait, 2019 parait déjà comme une année charnière puisque pour la première fois, le temps passé sur Internet dépasse celui devant les écrans de télévision (2). Récemment, le neuroscientifique Michel Desmurget nous alarmait sur la situation, selon lui presque désespérée, des atteintes portées par la visualisation d’écran pour les enfants et adolescents. Avec plus de 1.000 heures par an devant un écran, les enfants de maternelle entrent dans un processus de « crétinisation » qui ne fait que s’amplifier (3). Le risque présenté par une consommation non contrôlée de l’Internet est exacerbé par la facilité de l’accès à la violence sur le Net.
La haine et la violence s’expriment de multiples manières, telles que le cyberharcèlement, les propos haineux, les images violentes. Ces risques constatés depuis une trentaine d’années (4) ont fait l’objet de multiples dispositifs législatifs et en particulier de la loi du 21 juin 2004 « pour la confiance dans l’économie numérique » – loi dite LCEN. Depuis, de nombreux autres textes sont venus compléter l’édifice législatif français pour prendre en considération à la fois l’instrumentalisation de l’Internet dans le cadre des activités terroristes visant notre territoire, et les enjeux particuliers que présente l’effet démultiplicateur des réseaux sociaux. C’est dans ce cadre, à l’occasion du plan du gouvernement de lutte contre le racisme et l’antisémitisme le 6 mars 2018, que le Premier ministre a confié à la députée Laetitia Avia (5), à l’écrivain Karim Amellal (6) et à Gil Tayeb (7) le soin de réfléchir aux outils à mettre en place pour lutter plus efficacement contre le racisme et l’antisémitisme sur Internet. C’est la deuxième fois, sous le mandat du président de la République et à la demande de l’exécutif, que les députés sont amenés à se pencher sur les limites à la liberté d’expression sur Internet. On se rappellera le fâcheux précèdent de la loi contre « la manipulation de l’information » en période électorale (8), loi dite « Fake news » promulguée le 23 décembre 2018. La proposition de loi « Avia » visant à lutter contre la haine sur Internet (9) tente de rajouter un étage supplémentaire dans le contrôle des propos échangés dans le cyberespace. A juste titre, les auteurs de la proposition de loi s’émeuvent de la libération d’une parole haineuse décomplexée sur la Toile et des effets dévastateurs, en particulier sur les jeunes, des phénomènes de cyberharcèlement. Ils constatent également la relative impunité qui règne en matière de cyberhaine, du fait du peu de plaintes déposées et en conséquence de condamnations prononcées. De fait, les plateformes de réseaux sociaux savent habilement échapper à leurs responsabilités tant par une organisation de leur groupe en forme de nébuleuse internationale qu’en exigeant leur statut juridique de simple hébergeur (que leur assure la directive européenne « E-commerce » de 2000). Il est vrai que si nous ne voulons pas voir notre société devenir schizophrène, les interdits applicables dans l’espace public réel devraient également faire l’objet d’interdits dans le cadre de comportements en ligne. Contrairement aux récrits des héros habituels de la liberté à tous crins, une opinion estimée sur Internet ne relève pas plus de la liberté de conscience qu’un cri poussé dans la rue ou qu’un écrit diffusé dans la presse papier. L’Internet a beau être accessible dans la chambre à coucher, il ne relève pas du for intérieur.

Après l’Allemagne, la France légifère
De fait, les évolutions législatives à travers le monde, y compris en Europe, tendent à instaurer des codes de bonne conduite et une responsabilité croissante des acteurs du numérique. Le 1er octobre 2017, l’Allemagne a adopté la loi « NetzDG » par laquelle la responsabilité des plateformes est renforcée avec l’obligation de mettre en place des procédures de traitement des signalements efficaces et transparentes, et l’exigence de retrait des contenus illicites sous 24 heures sous peine de lourde sanction financière.
En France, la réforme de la justice instaurée par la loi de programmation 2018-2022 et de réforme pour la justice (10) a permis de procéder à des avancées qui sont utiles dans le cadre de la lutte contre les propos haineux sur Internet : dépôt de plainte en ligne, jugement par ordonnance pénale plus rapide, responsabilité des plateformes quel que soit leur lieu d’établissement, …

Régime de responsabilité administrative
La proposition de loi Avia prévoit un nouveau régime de responsabilité administrative applicable aux opérateurs de plateforme à fort trafic, selon un seuil de connexion mensuel sur le territoire français qui sera déterminé par décret. L’article 1er du texte, le plus critiqué, notamment au Sénat, prévoit que les opérateurs ont l’obligation de retirer ou de rendre inaccessible dans un délai maximal de 24 heures tout contenu comportant manifestement une incitation à la haine ou une injure discriminatoire en raison de la race, de la religion, du sexe, de l’orientation sexuelle ou du handicap. Le manquement à cette obligation est passible d’une sanction – susceptible d’atteindre 4 % du chiffre annuel mondial de l’opérateur – prononcée par le CSA. Le texte prévoit également, aux termes de son article 2, de faciliter les procédures de notification des contenus illicites par les victimes. Le formalisme procédural qui était prévu initialement par la LCEN de 2004 est considérablement simplifié. Désormais, tous les hébergeurs ont l’obligation de mettre en place un bouton unique de signalement commun à tous les grands opérateurs de plateforme de communication et de simplifier le processus de notification. Le soutien des victimes et des déclarants amène l’article 3 de la proposition de loi à imposer la fourniture par les opérateurs d’une information publique claire et détaillée sur les dispositifs de recours, y compris judiciaire dont disposent les victimes.
Les opérateurs ont également une obligation de transparence en matière de lutte contre les contenus d’incitation à la haine sur Internet (obligation de communiquer le nombre de signalements reçus, la répartition des délits visés, le nombre de signalements abusifs, les moyens humains et financiers engagés, …). Le CSA voit ses compétences élargies à nouveau et il lui reviendra de suivre la lutte engagée contre la haine sur Internet et d’accompagner par ces recommandations les opérateurs de plateforme. L’article 5 impose aux opérateurs de désigner un représentant légal exerçant les fonctions d’interlocuteur référent des autorités sur le territoire français. Cette disposition est en effet essentielle tant les plateformes de réseaux en ligne ont eu jusqu’à présent le loisir de jouer sur la complexité de leur organisation sociale pour éviter de répondre aux autorités administratives judiciaires. Le montant des sanctions applicables a été augmenté de 75.000 à 250.000 euros par infraction. Ce montant reste dérisoire compte-tenu du niveau de revenus des opérateurs, même s’il a vocation à s’appliquer à chacune des infractions, notamment lorsque les représentants des plateformes refusent de coopérer promptement pour lever l’anonymat des auteurs de contenus illicites. Le législateur ayant constaté que les propos racistes sont également diffusés sur des sites web dédiés, il a tenté au sein de l’article 6 de faciliter le blocage et le déréférencement des sites web illicites ainsi que de lutter contre le transfert des contenus litigieux sur des sites miroirs. Il confie le pouvoir à une autorité administrative d’enjoindre le blocage de tels sites miroirs. La proposition de loi Avia prévoit en outre que le gouvernement présente chaque année au Parlement un rapport sur l’exécution de la loi, les moyens consacrés à la lutte contre les contenus licites, y compris en matière d’accompagnement des victimes. Enfin, car la France ne serait plus la France sans mêler à tout texte législatif une disposition fiscale, la proposition crée une taxe additionnelle d’un montant qui reste à définir. Les voies critiques se sont multipliées sur ce texte manifestement rédigé à la va-vite. Conseil national du numérique (11), Conseil d’Etat, Commission européenne (12), … Les avis étaient mitigés ou franchement négatifs, ce qui rend le parcours du combattant parlementaire peu surprenant.
Le Sénat, où certains redoutent une « privatisation de la censure », a finalement adopté le 17 décembre 2019 le texte largement modifié en supprimant notamment le délai de 24 heures prévu par la proposition pour le retrait des contenus illicites. Le texte a été renvoyé en commission mixte paritaire (CMP), qui s’est réunie le 8 janvier 2020 sans parvenir à un accord entre députés et sénateurs. En conséquence, le texte a fait l’objet d’une nouvelle lecture à l’Assemblée nationale les 21 et 22 janvier après avoir été réexaminé le 14 janvier en commission des lois où le délai de 24 heures a été rétabli (13). Ce délai de retrait est assorti d’une amende plafonnée à 1,25million d’euros (14). Le texte a été adopté par les députés, avec l’introduction in extremis par le gouvernement d’un délai de 1 heure seulement pour les contenus terroristes ou pédopornographiques (15). Prochains rendez-vous : le 30 janvier pour une nouvelle lecture au Sénat et le 11 février pour l’adoption définitive du texte à l’Assemblée nationale.

GAFAM, juges de la bien-pensance ?
Espérons que les parlementaires trouveront la voie étroite pour limiter les tombereaux d’ordures qui déferlent sur la Toile, sans donner – ni aux forces étatiques, dont la répression n’est jamais neutre, de nouveaux pouvoirs limitant les libertés publiques, ni au GAFAM, motivés comme jamais par des sanctions pécuniaires significatives – le pouvoir de s’ériger en nouveaux juges de la bien-pensance universelle. Le risque, à défaut, serait de donner une nouvelle dimension à cet « Empire du bien » fustigé par Philippe Murray, qui y voyait avec raison le règne d’une « tolérance hygiénique » sans savoir combien l’Internet contribuerait à décupler ce qu’il appelait avec une anticipation géniale la « Virtue World Corporation ». @