Archives par mot-clé : Protection des données

Facebook (15 ans d’âge et moult scandales) : Mark Zuckerberg est responsable mais… pas coupable

Publié le par

Mark Zuckerberg, qui détient la majorité des droits de vote de Facebook alors qu’il en est actionnaire minoritaire, concentre tous les pouvoirs en tant que président du conseil d’administration. A bientôt 35 ans, le philanthrope milliardaire est intouchable malgré les scandales à répétition impactant le premier réseau social du monde.

Bernard Arnault, quatrième plus riche du monde, pourrait se voir détrôner en 2019 par Mark Zuckerberg (photo), qui le talonne
à la cinquième place des plus grandes fortunes de la planète. Comment un jeune Américain, qui va tout juste sur ses 35 ans (le 14 mai) pourrait-il faire subir un tel affront à un vénérable Français, deux fois plus âgé que lui et à l’aube de ses 70 ans
(le 5 mars) ? La richesse du geek, PDG de Facebook, a grimpée plus vite en un an que celle du patriarche, PDG de LVMH, pour atteindre au 8 février respectivement 65,5 et 76,3 milliards de dollars, selon le « Billionaires Index » de l’agence Bloomberg.
La fortune de Mark Zuckerberg a augmenté sur un an plus vite (+ 13,5 milliards
de dollars) que celle de Bernard Arnault (+ 7,7 milliards à la même date). Pour un trentenaire qui perçoit seulement un salaire annuel de… 1 dollar, depuis 2013 et conformément à sa volonté, contre 500.000 dollars auparavant, et sans recevoir non plus depuis de primes ou d’actions, c’est une performance ! Ses revenus proviennent en fait de ses actions qu’il détient en tant qu’actionnaire minoritaire de Facebook.
Mais les 17 % que le fondateur détient encore la firme de Menlo Park (Californie),
cotée en Bourse depuis mai 2012, ne reflètent pas vraiment son pouvoir de contrôle puisqu’il possède 60 % des droits de vote.

« Zuck » vend des actions Facebook jusqu’en mars 2019
Zuck – comme le surnomment ses proches collaborateurs – contrôle en effet Facebook grâce à une structure capitalistique très particulière composée de deux types d’actions : celles de « classe A » cotées en Bourse, mais surtout les « classe B » non cotées et à droits de votes préférentiels, ces dernières lui permettant de détenir plus de la majorité des droits de vote – bien que détenteur minoritaire du capital. Autant dire que le jeune multimilliardaire est, en tant qu’actionnaire de référence de Facebook, le seul maître à bord et ne peut être évincé sans son accord par le conseil d’administration qu’il préside!
« [Mark Zuckerberg] est en mesure d’exercer son droit de vote à la majorité du pouvoir de vote de notre capital et, par conséquent, a la capacité de contrôler l’issue des questions soumises à l’approbation de nos actionnaires, y compris l’élection des administrateurs et toute fusion, consolidation ou vente de la totalité ou de presque la totalité de nos actifs », souligne le groupe Facebook qui justifie cette concentration des pouvoirs sur un seul homme. A savoir : empêcher toute manœuvre capitalistique ou stratégique qui n’ait pas l’aval du PDG fondateur.

Entre potentat et philanthrope !
En septembre 2017, ce dernier avait bien tenté de créer une nouvelle catégorie d’actions – cette fois des « classe C », destinées à être cotées en Bourse – qui lui auraient permis de « prolonger » son contrôle sur son groupe par la majorité des droits de vote. Mark Zuckerberg avait défendu ce projet d’évolution de structure du capital pour pouvoir financer ses initiatives philanthropiques tout en gardant le contrôle des droits de vote et en ayant le dernier mot. Mais face à la levée de bouclier de certains actionnaires, il avait renoncé aux « classe C », tout en affirmant pourvoir quand même financer ses projets altruistes « pour encore au moins 20 ans ». Avec son épouse Priscilla Chan, le jeune PDG a alors prévu de « vendre 35 millions à 75 millions d’actions de Facebook dans les dix-huit mois [à partir de l’annonce faite en septembre 2017 et donc jusqu’à mars 2019, ndlr] dans le but de financer des initiatives philantropiques de [luimême] et de sa femme, Priscilla Chan, dans l’éducation, la science et la défense [de causes] ». Le couple a indiqué en décembre 2015 vouloir donner de leur vivant jusqu’à 99 % de leurs actions Facebook (2) à leur fondation,
la Chan Zuckerberg Initiative. « Mr. Zuckerberg nous a informé que durant cette période il avait l’intention de continuer à vendre de temps en temps des actions Facebook, principalement pour continuer à financer ses projets philantropiques », indique encore le rapport annuel 2018 publié le 31 janvier dernier.
Le philanthrope-milliardaire, hypermédiatisé, reste intouchable et concentre ainsi d’immenses pouvoirs entre ses mains. Et ce, malgré l’annus horribilis que fut pour
lui 2018 égrenée par des scandales à répétition provoqués successivement par : l’ingérence russe via le premier réseau social mondial dans l’élection présidentielle américaine de 2016 ; les fake news d’activistes ou de gouvernements propagées sur la plateforme ; l’exploitation illégale des données personnelles de 100 millions utilisateurs à des fins politiques par la société Cambridge Analytica (re-née de ses cendres en Emerdata) ; le piratage en ligne de millions de comptes permis par une faille de sécurité ; le recours de Facebook à une entreprise de relations publiques, Definers Public Affairs, pour discréditer ses adversaires, concurrents et critiques. Tout récemment encore, le 30 janvier, Facebook a été accusé d’avoir collecté les données personnelles sur smartphone auprès de « volontaires », notamment d’adolescents qui étaient rétribués 20 dollars par mois (3). L’intouchable dirigeant, accusé de légèreté face
à toutes ces affaires compromettantes (4), n’a pas jugé bon de démissionner, alors
que sa responsabilité est largement engagée et malgré les appels à son départ lancés par des investisseurs américains dès le printemps 2018. Au magazine The Atlantic,
le 9 avril (5), il déclarait ne pas avoir l’intention de démissionner. Plus récemment, sur
CNN Business le 20 novembre (6), il affirmait droit dans les yeux de son intervieweuse : « C’est pas prévu », tout en défendant au passage son bras droit et directrice des opérations du réseau social, Sheryl Sandberg, elle aussi mise en cause dans la mauvaise gestion des graves crises et controverses aux répercutions mondiales. Sous la pression, la firme de Menlo Park a dû quand même procéder en mai 2018 au plus vaste remaniement de son top-management depuis sa création (7). Même comme
« panier percé », Facebook affiche fièrement sur le seul réseau social historique ses 2,3 milliards d’utilisateurs mensuels (1,5 milliard quotidiens), dont 381 millions en Europe.
Cette audience captive lui a permis de dégager sur l’année 2018 un bénéfice net de 22,1 milliards de dollars, en hausse insolente de 39 %, pour un chiffre d’affaire de
55,8 milliards de dollars, faisant également un bond de 37 %. Quant au trésor de guerre, à savoir le cash disponible, il culmine à 41,1 milliards de dollars.
Si l’on additionne Facebook, Instagram, WhatsApp et Messenger, « il y a maintenant 2,7 milliards de personnes chaque mois, dont plus de 2 milliards chaque jour, qui utilisent au moins l’un de nos services », s’est félicité Mark Zuckerberg lors de la conference téléphonique du 30 janvier dédiée à la presentation des résultats annuels. Une vraie « success story » malgré le départ de jeunes attirés par SnapChat ou TikTok (8). Depuis l’action grimpe (de 144 à 166 dollars) et la valorisation boursière de Facebook Inc atteint près de 500 milliards de dollars.

Intégration Facebook, WhatsApp et Instagram ?
Mais Zuck n’en a pas fini avec les enquêtes. Sept Etats américains (9) soupçonnent Facebook de violation sur la protection des données. La Federal Trade Commission (FTC) aussi. Le Congrès américain, devant lequel le PDG en cause s’est excusé au printemps dernier pour l’affaire « Cambridge Analytica », pourrait légiférer. En Europe, l’Irlande – via sa « Cnil », la DPC (10) – mène l’enquête sur son respect du RGPD (lire p. 6) et s’inquiète surtout du projet d’intégration de Facebook, WhatsApp et Instagram (11). L’Allemagne, elle, a décidé le 7 février d’empêcher Facebook d’exploiter les données entre ses services. @

Charles de Laubier

Extension de la protection des données en Europe : FAI et OTT à la même enseigne

Publié le par

Dans sa proposition de règlement « Vie privée » de janvier 2017, la Commission européenne souhaite étendre le cadre protecteur des fournisseurs d’accès à Internet (FAI) aux fournisseurs de « services de communications par contournement » (OTT), ainsi qu’à l’Internet des objets. Explications.

Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés

La Commission européenne a présenté le 10 janvier 2017 une proposition de règlement « concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE ». Cette proposition vise à remplacer la directive de 2002 (1), laquelle avait été transposée en droit français dans le code des postes et des communications électroniques et dans la loi 78-17 relative à l’informatique, aux fichiers et aux libertés (2).

Confidentialité des données
Cette directive de 2002 a établi un cadre réglementaire spécial pour la protection de la vie privée, la confidentialité et la protection des données à caractère personnel dans le secteur des communications électroniques, à côté du cadre général de la directive de 1995 sur la protection des données à caractère personnel (3). La refonte de cette directive de 2002 était annoncée tout à la fois dans la communication de la Commission européenne du 6 mai 2015 de « stratégie pour un marché numérique en Europe », dans les travaux préparatoires et le texte final du nouveau règlement général sur la protection des données personnelles (RGPD) – remplaçant la directive de 1995 – adopté le 27 avril 2016 (4) et dans la proposition de directive « établissant le code des communications électroniques européen » présentée le 14 septembre 2016. Cette refonte à travers la proposition de règlement présentée le 10 janvier dernier vise pour l’essentiel à une harmonisation avec les dispositions renforcées du RGPD et à une application élargie aux services de communications interpersonnelles, aux services
« machine à machine » et aux logiciels de navigation Internet. La proposition de règlement de janvier 2017 réaffirme et étend à l’ensemble des données de communications électroniques le principe de confidentialité et les règles attachées
de traitement, de stockage, d’effacement et d’anonymisation des données. La directive de 2002 distinguait, d’une part, les données relatives au contenu des communications et, d’autre part, les données relatives au trafic et à la localisation des communications. Le contenu des communications désigne des informations échangées ou acheminées entre un nombre fini de parties au moyen d’un service de communications électroniques accessibles au public. La proposition de règlement institue la notion de « données de communications électroniques » regroupant et distinguant, d’une part, les données de « contenu », d’autre part, l’ensemble des
« métadonnées » (lire encadré sur les définitions page suivante). Elle soumet l’ensemble des données de communications au principe de confidentialité en rappelant qu’elles peuvent comporter des données à caractère personnel. La proposition de règlement étend ce principe de confidentialité au-delà du cercle des fournisseurs d’accès à Internet (FAI) à travers une nouvelle définition de la notion de « services
de communications électroniques » (voir définitions page suivante) rompant avec l’exclusion des « services de la société de l’information » et visant expressément les services de « communications interpersonnelles » (comme les services de voix sur IP, de messagerie instantanée et de courrier électronique sur le Web) et les services de
« transmission pour la fourniture de services machine à machine ».

FAI et OTT dans le même cadre
Tenant compte des évolutions technologiques et concurrentielles, la Commission européenne entend ainsi appréhender dans la réglementation protectrice – et dans
le même cadre réglementaire que les FAI (5) – les fournisseurs de « services de communications par contournement » dits OTT (Over-The-Top) tels WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou encore Viber (6). En visant par ailleurs les services de transmission utilisés pour la fourniture de services de machine à machine (MtoM), elle entend également appréhender les données de communications électroniques générées par le développement de l’Internet des objets. La directive
de 2002 a établi un encadrement du stockage d’informations et de l’obtention des informations stockées dans les équipements terminaux, en prévoyant que ces opérations ne sont permises qu’avec le consentement de l’utilisateur ou de l’abonné. Sauf dans le cas où elles sont nécessaires à la transmission d’une communication ou à la fourniture d’un service expressément demandé par l’utilisateur ou l’abonné. Alors que la directive 2002/58 établit une distinction entre la notion
d’« utilisateur » et celle d’« abonné », la proposition de règlement de janvier 2017 n’utilise que la notion d’« utilisateur final » (personne physique ou morale).

Navigateurs web et consentement
La proposition de règlement de janvier 2017 reprend ces dispositions en ajoutant que l’utilisation ou la collecte des informations des équipements terminaux est également possible sans le consentement de l’utilisateur « si cela est nécessaire pour mesurer des résultats d’audience web ». Le règlement proposé prévoit une extension de ces dispositions aux fournisseurs d e « logiciels permettant des communications électroniques, y compris la récupération et la présentation d’informations sur Internet », dont en particulier les fournisseurs de navigateurs web, en les soumettant à l’obligation de proposer à leurs utilisateurs la possibilité d’empêcher les tiers de stocker ou de traiter des informations sur leurs équipements terminaux. La Commission européenne souligne que « les choix effectués par l’utilisateur final lorsqu’il définit les paramètres généraux de confidentialité d’un navigateur ou d’une autre application devraient être contraignants pour les tiers et leur être opposables ». La proposition de règlement prévoit de confier le contrôle de ses obligations aux autorités du RGPD. Outre la protection des données de communications électroniques et des informations des équipements terminaux, le projet de règlement concerne également le droit des utilisateurs de contrôle r l’envo i e t l a réception de leurs communications (identification de la ligne appelante, possibilité de limiter la réception des appels indésirables, existence des annuaires accessibles au public, …). Le non-respect des obligations concernant le traitement, le stockage et l’effacement des données de communications électroniques pourrait être sanctionné jusqu’à 4 % du chiffre d’affaires annuel mondial des entreprises concernées.
La Commission européenne envisage une date d’application le « 25 mai 2018 au plus tard », en même temps que l’entrée en vigueur du RGPD, et ainsi un processus rapide de discussion et d’adoption. Les prochains mois montreront si sa résolution résistera à l’opposition de Digital Europe (7) et de l’ICDP (8), qui lui reprochent une approche soi-disant précipitée et disproportionnée pour l’équilibre de l’écosystème numérique. @

ZOOM

Question de définitions selon les différents textes
La directive « Vie privée et communications électroniques » définissait :
• Le « service de communications électroniques » comme étant le service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques y compris les services de télécommunications et les services de transmission sur les réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus ; il ne comprend pas les services de la société de l’information tels que définis à l’article 1er de la directive 98/34/CE qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques.
• Les données relatives au contenu des communications électroniques comme des informations échangées ou acheminées entre un nombre fini de parties au moyen d’un service de communications électroniques accessibles au public.
• Les données relatives au trafic et à la localisation des communications électroniques comme étant respectivement toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation, et toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public.

La proposition de règlement de janvier 2017 définit, elle :
• Les données de « contenu » des communications électroniques comme étant les contenus échangés au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de document vidéo, d’images et de son.
• Les « métadonnées » des communications électroniques comme étant les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l’échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l’appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication.

La proposition de directive établissant le code des communications électroniques européen définit :
• Le « service de communications interpersonnelles » comme étant un service normalement fourni contre rémunération qui permet l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, dans lequel les personnes qui amorcent la communication ou y participent en déterminent le(s) destinataire(s) ; il ne comprend pas les services qui rendent possible une communication interpersonnelle et interactive uniquement en tant que fonction mineure accessoire intrinsèquement liée à un autre service . @

Projet de nouveau règlement sur la vie privée et la protection des données : top départ pour le lobbying

Publié le par

La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying

Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.

 

L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.

Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.

Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».

Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @

Charles de Laubier

L’affaire « Microsoft » : la localisation des données et l’extraterritorialité en question

Publié le par

Le 14 juillet 2016, la cour d’appel fédérale de Manhattan aux Etats-Unis a décidé qu’un mandat de perquisition ne permettait pas aux autorités américaines d’obtenir des données stockées par Microsoft en Irlande, car un tel mandat ne peut avoir d’effets en dehors des frontières des Etats-Unis.
Quel impact en Europe ?

Par Winston Maxwell (photo), avocat associé, Hogan Lovells

winston-maxwellL’arrêt « Microsoft » a le mérite de préciser l’étendue territoriale des pouvoirs de police aux Etats-Unis et de relancer le débat sur la localisation des données. Cette affaire commence en décembre 2013 lorsqu’un magistrat ordonne à la firme de Redmond de livrer aux services du procureur de l’Etat de New York le contenu de courriers électroniques appartenant à une personne suspectée de trafic de drogues.
Microsoft a livré les métadonnées concernant le compte e-mail du suspect, mais a refusé de livrer le contenu des e-mails, car celui-ci était hébergé en Irlande. Selon Microsoft, les effets de l’ordonnance du magistrat s’arrêtaient aux frontières des Etats-Unis. En première instance, le magistrat a sanctionné Microsoft en 2014 pour avoir désobéi à son ordonnance.

Perquisitions et frontières
Après une procédure d’appel médiatisée et impliquant de nombreuses interventions volontaires, la cour d’appel fédérale a donné raison à Microsoft. La loi américaine permet à la police d’accéder au contenu d’e-mails uniquement après la délivrance par un juge d’un « mandat de perquisition » (warrant). Il s’agit du même outil juridique que celui utilisé pour la fouille d’une maison, par exemple. Selon Microsoft, un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis.
Le gouvernement américain soutenait, au contraire, qu’aucune fouille n’était nécessaire en dehors des Etats-Unis puisque Microsoft pouvait – à partir de son siège à Redmond (Etat de Washington) – récupérer les données irlandaises par un simple manœuvre technique. Pour le gouvernement américain, la localisation des données n’était pas importante dès lors que le fournisseur de service était situé aux Etats-Unis,
et il pouvait donc accéder à ces données.
La position du gouvernement américain converge avec l’article 57-1 du Code de procédure pénale en France, lequel permet à la police, sous certaines conditions, d’accéder à des données hébergées à l’étranger si un accès à ces données est autorisé en France.
La cour d’appel américaine n’a pas voulu rentrer dans la logique du gouvernement des Etats-Unis. La cour s’est focalisée avant tout sur l’intention du législateur américain. Selon l’arrêt du 16 juillet, une portée extraterritoriale ne peut découler implicitement d’une loi : il faut que la loi prévoie cette portée extraterritoriale explicitement. C’est le cas de certaines lois américaines qui visent de manière explicite des actes commis à l’étranger (actes de terrorisme, ou tourisme sexuel impliquant des mineurs, etc.). Cependant, si la loi ne dit rien sur l’extraterritorialité, la loi doit être lue comme étant limitée au territoire national. Selon la cour d’appel, seul le législateur est habilité à
gérer les questions délicates d’extraterritorialité et des relations internationales. L’extraterritorialité doit être explicite. La loi américaine sur la protection des communications électroniques est silencieuse sur la question territoriale. Pour la cour fédérale, la loi ne peut donc produire d’effets au-delà de la frontière des Etats-Unis.
Par conséquent, le gouvernement ne peut pas utiliser un mandat de perquisition pour forcer Microsoft à livrer des données hébergées en Irlande (1).
Le débat n’est pas clos pour autant, car le gouvernement américain pourrait porter cette affaire devant la Cour Suprême.

Plusieurs enseignements
La décision nous livre plusieurs enseignements. Le premier est qu’en matière d’enquêtes judiciaires, la loi américaine fournit autant de protections aux individus
que la loi française. L’intervention d’un juge est nécessaire, comme pour la fouille
d’un domicile. En matière de protection des données à caractère personnel, la loi américaine sur les enquêtes criminelles ne peut guère être considérée comme étant
« inadéquate », car elle fournit autant de garanties que la loi française.
Certes, les services de renseignement américains ne sont pas tenus, eux, d’obtenir
un mandat avant de collecter des données, y compris hors des Etats-Unis. Ce point
est reproché aux Etats-Unis dans le contexte du nouveau « Privacy Shield » (2). Cependant, aucun pays européen n’impose une telle exigence à ses agences du renseignement. En France, par exemple, les agences du renseignement peuvent collecter des données concernant des communications internationales avec la seule autorisation du Premier ministre. L’erreur serait de comparer l’encadrement des activités de renseignement aux Etats-Unis avec l’encadrement des enquêtes
judiciaires en France. Les deux ne sont pas comparables. Seule une comparaison
« renseignement- renseignement » serait pertinent.

L’extraterritorialité ne se présume pas
Le deuxième enseignement de l’affaire Microsoft concerne localisation des données. Est-ce que la localisation physique des données compte ? En juillet, la Russie a adopté une loi qui étend considérablement l’obligation de stocker des données sur le territoire russe. Un amendement au projet de loi « République numérique » adopté au Sénat aurait créé une obligation de stocker des données sur le territoire français. Cet amendement n’a pas été repris dans la version du texte adoptée en juillet 2016 (3). Certaines lois chinoises prévoient l’obligation de stocker des données sur le territoire chinois. Face aux risques de la mondialisation, certains Etats voient dans la localisation des données un moyen de réaffirmer leur souveraineté. La décision Microsoft semble confirmer que la localisation physique des données peut avoir un impact sur les pouvoirs des autorités nationales.
Mais ce n’est pas si simple. Une loi nationale peut prévoir la possibilité pour les autorités d’accéder à des données hors de son territoire s’il existe un accès dans le territoire (en France, article 57-1 Code de la procédure pénale), voire la possibilité d’intercepter des données à l’étranger (article L854-1 du Code de la Sécurité intérieure). La leçon de l’affaire Microsoft est que la loi doit être précise sur ce point,
car l’extraterritorialité ne se présume pas.
Sur la question de la localisation des données, le nouveau règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (4) est ambivalent, voire contradictoire. D’un côté, la localisation des données n’est pas importante, car tout traitement effectué dans le cadre des activités d’un établissement en Europe – ou lié à l’offre de services en Europe – est couvert par ce règlement, même si les données sont stockées en dehors de l’Europe. Le règlement précise d’ailleurs que le lieu du traitement est sans importance. De l’autre côté, le règlement impose des contraintes particulières pour tout transfert de données en dehors de l’Union européenne, ce qui du coup donne une importance à la localisation. Les prestataires de cloud expliqueront que les données sont stockées partout, et que cette architecture contribue à la sécurité, à la fiabilité, et au faible coût du service.
Mais après l’affaire « Snowden » (5), les fournisseurs de cloud mettent en avant des solutions de stockage 100 % européen, voire 100 % français. Les lois russes et chinoises vont dans le sens d’une localisation forcée des données sur le territoire,
sans parler de lois turques ou iraniennes (6). Dans le cadre de ses travaux sur le marché numérique unique, la Commission européenne dresse un inventaire sur les
cas de « localisation forcée » des données (7), et souligne la nécessité de permettre
la libre circulation des données afin de favoriser l’innovation, la croissance, et la liberté d’expression. Le débat sur la localisation des données s’accompagne d’un débat sur le chiffrement, car une donnée stockée localement n’est guère utile si elle ne peut être déchiffrée. La loi française oblige les fournisseurs de moyens de cryptologie à décrypter des messages, sauf si les prestataires « démontrent qu’ils ne sont pas en mesure de satisfaire à des réquisitions » (article L871-1 du Code de la Sécurité intérieure). Au moment où les gouvernements français et allemand plaident pour des pouvoirs accrus en matière de déchiffrement (8), la présidente de la Commission nationale de l’informatique et des libertés (Cnil) rappelle, dans une tribune qu’elle a cosignée (9), l’importance du chiffrement dans la protection des données à caractère personnel. @

ZOOM

Microsoft résiste encore et toujours à Washington
La firme de Redmond, dans l’Etat de Washington, a décidément maille à partir
avec l’administration de Washington. En effet, en avril 2016, Microsoft a porté plainte
– devant un tribunal fédéral de Seattle – contre le gouvernement américain en l’accusant de violer la Constitution des Etats-Unis en empêchant le géant américain
de l’informatique et du Net d’informer ses milliers de clients des requêtes « secrètes » de l’administration américaine – sous couvert de l’Electronic Communications Privacy Act (ECPA) – pour avoir accès à leurs e-mails et données personnelles.
Cette affaire rappelle celle de l’iPhone qu’Apple avait refusé de débloquer à la demande la police fédérale (FBI) – finalement abandonnée – à la suite de la tuerie de San Bernardino en décembre 2015. @

Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

Publié le par

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @