Archives par mot-clé : RGPD

« Résumé suffisamment détaillé » : 2025 sera l’année de vérité dans la mise en œuvre de l’AI Act

Publié le par

Le rapport du CSPLA sur la mise en œuvre du règlement européen établissant des règles harmonisées sur l’IA fournit les ingrédients mais… pas la recette ! Le Bureau européen de l’IA, créé par l’AI Act, doit publier prochainement un « modèle européen » à suivre par les Vingt-sept.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le rapport « IA et Transparence des données d’entraînement » (1), publié le 11 décembre 2024 par le Conseil supérieur de la propriété littéraire et artistique (CSPLA), s’inscrit dans la préparation de la mise en œuvre du règlement européen sur l’intelligence artificielle (AI Act) et a pour objectif de clarifier l’interprétation et la portée des dispositions imposant un modèle de « résumé suffisamment détaillé » (2). Ce modèle sera présenté au nom de la France dans le cadre du processus d’adoption d’un modèle européen par le Bureau européen de l’IA (AI Office), autorité créée par l’AI Act et chargée d’accompagner les fournisseurs d’IA dans leur mise en conformité. La publication du modèle européen est attendue pour janvier 2025.

Transparence des données d’entraînement
La collecte de données de qualité, notamment de données culturelles, est d’une importance stratégique pour les fournisseurs d’IA, puisque les systèmes d’IA ont besoin d’ingurgiter de grandes quantités de données, leur servant de modèles dans leurs productions. Or, des données contenant des créations protégées par un droit de propriété intellectuelle peuvent avoir été obtenues sans autorisation ou sans tenir compte d’un « opt-out », et avoir été effectivement exploitées. Il en va de même concernant des données personnelles (posts Facebook, Instagram, …) potentiellement utilisées pour l’entraînement de modèles d’IA. L’enjeu est alors d’avoir accès à l’information sur les données d’entraînement utilisées par une IA, pour bien des raisons et notamment ouvrir une visibilité aux ayants droits dont des données et/ou créations auraient été mobilisées, quelles qu’en soient les modalités.
Pour ce faire, les fournisseurs d’IA sont désormais soumis à une obligation de transparence qui se concrétise par la mise en place d’une politique de conformité, ainsi que par la mise à disposition au public d’un « résumé suffisamment détaillé » (sufficiently detailed summary) des contenus utilisés pour l’entraînement du modèle d’IA. Ce résumé permet le développement d’une IA de confiance souhaitée au niveau européen (3), en remédiant aux difficultés rencontrées par les titulaires de droits, confrontés à une charge de la preuve disproportionnée concernant l’utilisation de leurs contenus. Pour autant, le résumé doit répondre aux enjeux de la création d’un marché dynamique et équitable de l’IA. Ce qui impose un compromis pour restreindre la quantité d’informations mise à disposition afin de protéger le secret des affaires, moteur d’innovation pour les fournisseurs d’intelligence artificielle. (suite)

La mission à l’origine du rapport approuvé par le CSPLA (4) rappelle à ce titre qu’il convient de « donner à la transparence les conséquences attendues, à savoir créer un marché et permettre la rémunération des contenus » (5). Il s’appuie sur deux principaux points pour justifier son modèle de résumé.
En premier lieu, l’obligation de mettre en place une politique de conformité et celle de mettre à disposition du public un résumé suffisamment détaillé sont indissociables en ce qu’elles participent au même objectif de transparence. A ce titre, et par souci de cohérence avec le « codes de bonne pratique » (code of practice) attendu auprès du bureau de l’IA, la mission considère que la politique de conformité devrait apparaître, au moins dans ses grandes lignes, dans le résumé. La mission explicite certains des principaux éléments de conformité qui devraient figurer dans le résumé. Elle souligne que l’AI Act exige explicitement que la politique de conformité inclut l’« identification et le respect (…) des réserves de droits exprimées conformément à l’article 4, paragraphe 3, de la directive [« Copyright » de 2019 (6)] » (7), mécanisme dont les faiblesses ont été éclairées lors de la récente décision du tribunal régional d’Hambourg dans l’affaire « LAION c/ Robert Kneschke» (8).

Fouille de textes et de données (TDM)
Pour mémoire, le dispositif de ces articles que nous avons commenté (9) permet aux titulaires de droits de s’opposer à la fouille de textes et de données si les œuvres et autres objets protégés ont été réservés « par leurs titulaires de droits de manière appropriée, notamment par des procédés lisibles par machine pour les contenus mis à la disposition du public en ligne ». Or, le tribunal allemand a notamment validé l’application des exceptions de « fouille de textes et de données » (TDM) pour l’entraînement des systèmes d’IA. D’autre part, le tribunal allemand a pour la première fois en Europe établi un précédent concernant l’exception de TDM en insistant sur la nécessité pour les fournisseurs d’intelligence artificielle d’adopter des technologies pour respecter les clauses de réserve exprimées au titre de l’article 4 de la directive « Copyright ». En abordant la question de l’opt-out et la possibilité pour les détenteurs de droits de s’opposer à l’utilisation de leur contenu, le tribunal d’Hambourg a noté que l’opt-out exprimé en langage naturel pouvait être considéré comme « machine-lisible », ce qui aura des implications pour la manière dont les « optout » sont formulés et reconnus à l’avenir. Par conséquent, omettre de mentionner la clause de réserve de droits dans le résumé reviendrait à réduire la portée de l’obligation de transparence (10).

Détail du résumé et secret des affaires
Par ailleurs, le modèle de résumé devrait inciter les fournisseurs à préciser les protocoles reconnus par les « moissonneurs » de données qu’ils utilisent, que ce soit directement ou via des tiers et lorsqu’il s’agit de jeux de données obtenus gratuitement ou moyennant paiement auprès de tiers, et si des mesures ont été mises en place pour garantir que ces données ont été collectées en conformité avec la législation applicable, notamment en vérifiant l’existence d’une autorisation ou d’une licence.
En second lieu, le modèle de résumé doit être pensé afin de garantir un niveau de protection suffisant aux titulaires de droit tout en préservant l’innovation et ainsi conserver l’effet utile du texte. La mission du CSPLA souligne que la finalité du résumé telle que rappelée dans les considérants du règlement est d’« aider les parties ayant des intérêts légitimes, y compris les titulaires de droit d’auteur, à exercer et à faire respecter les droits que leur confère la législation de l’Union », sans pour autant porter atteinte au secret des affaires. A ce titre, le degré de détail du résumé doit s’apprécier au regard de cet objectif et de cette limite, afin de garantir l’effet utile du texte (11).
Pour garantir l’effet utile du résumé, le mission propose dans son rapport une approche graduée, ajustant le niveau de détail selon la nature des contenus, tout en veillant à préserver un équilibre avec le respect du secret des affaires. A ce titre, la mission estime que l’information relative aux contenus et le degré détail attendu est fonction du degré de fiabilité des sources. Pour les contenus libres de droit, ainsi que les contenus relevant d’arrangements contractuels, des informations générales peuvent suffire. Pour les autres contenus protégés, la mission estime que le secret des affaires ne saurait justifier de se borner à transmettre la liste des principales sources et donc ne pas transmettre la liste des URL (12), à savoir des adresses des sites web moissonnés. La mission souligne que l’AI Act insiste sur la nécessité de fournir un résumé complet pour permettre aux parties ayant des intérêts légitimes, comme les titulaires de droits d’auteur, d’exercer et de faire respecter leurs droits (13). Si le secret des affaires peut limiter le niveau de détail technique, il ne peut réduire le résumé au point de le rendre inefficace. Ainsi, la mission énonce comme essentielles certaines informations, telles que les URL des sites Internet d’où proviennent les données récupérées, la date de moissonnage, ainsi que la taille et le type de données utilisées. Toutefois, elle précise que des informations plus détaillées, comme les modalités d’utilisation des contenus (par exemple, méthode de filtrage ou tokenisation), relèvent du secret des affaires et ne doivent pas être divulguées dans le résumé public. Néanmoins, le secret des affaires ayant ses limites, ces informations pourront être divulguées dans le cadre d’une réclamation.
Le rapport du CSPLA se base notamment sur l’inopposabilité du secret des affaires au autorités judiciaires et administratives. A ce titre, la Cour de justice de l’Union européenne (CJUE) a considéré dans son arrêt « Dun&Bradstreet Austria GmbH » (14) que le secret des affaires ne saurait conduire à écarter le droit d’un individu, au titre du règlement européen sur la protection des données (RGPD) de comprendre une décision qui l’affecte. Pour la mission, cette solution est transposable aux dispositions de droit d’auteur issues des textes européens : le secret des affaires ne peut conduire, en vidant toute substance le résumé suffisamment détaillé, à écarter le droit qu’un titulaire de droits tire de l’AI Act à disposer d’éléments pouvant l’aider « à exercer et à faire respecter les droits que leur confère la législation de l’Union [européenne] ».
La mission souligne que si le Bureau de l’IA, lors de ses vérifications, n’a pas à examiner chaque œuvre ou contenu protégé individuellement pour contrôler la conformité des résumés fournis, l’AI Act n’interdit pas qu’un résumé inclut une liste des contenus protégés ou moissonnés, à condition que cette liste demeure globalement complète (15). L’exhaustivité de cette liste pourrait et devrait également être contrôlée dans le cadre d’une réclamation.

Droit d’auteur et données personnelles
Ainsi, pour la mission du CSPLA, il s’agit au stade du résumé public d’identifier les sources collectées pour l’entraînement de l’IA, mais pas encore d’explorer comment ces sources ont été utilisées, tenant compte du secret des affaires. Ces informations pouvant être révélées ultérieurement dans le cadre d’une réclamation, la protection des titulaires de droit demeure assurée. Les ingrédients donc… mais pas la recette. Le rapport du CSPLA confirme la lecture que l’on pouvait faire de l’AI Act, selon laquelle « l’obligation de transparence s’étend bien au-delà des contenus protégés par le droit d’auteur et les droits voisins » (16), et intègre notamment les données à caractère personnel. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des médias et des technologies.

Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Publié le par

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)

Le directeur expert cybersécurité de Cybermalveillance.gouv.fr, programme gouvernemental en partenariat public-privé piloté par le groupement d’intérêt public GIP Acyma (« action contre la cybermalveillance »), avait néanmoins confirmé auprès de nos confrères de 01net que le formulaire en ligne « n’était plus d’actualité », mais sans donner les raisons de l’abandon de cette « lettre plainte » qui aurait pu faciliter les démarches d’un potentiel de 19,2 millions de clients de Free. L’ampleur des plaintes à traiter, même en ligne, a sans doute fait reculer et la Cnil et l’administration française. Le risque d’un afflux de plaintes et d’usine à gaz ont amené la Cnil, la préfecture de police ou encore le ministère public (magistrat), décisionnaires dans ce type de démarche, à faire volte-face. Pourtant, créé par l’Etat en octobre 2017 dans le cadre de la stratégie nationale pour la sécurité du numérique, Cybermalveillance.gouv.fr – dont la Cnil est membre via le GIP Acyma – a vocation à « porter assistance aux victimes d’actes de cyber malveillance » (4). A défaut de « lettre plainte », les abonnés de Free n’auront-ils que leurs yeux pour pleurer la violation de leurs données personnelles ? Bien sûr que non : qu’il y ait exploitation frauduleuse de leurs coordonnées bancaires, usurpation d’identité (dont la fraude à la carte SIM ou « SIM swapping »), hameçonnage (phishing par SMS, e-mail ou téléphone), les clients de Free peuvent toujours porter plainte. Et il peuvent le faire de deux manières :
Auprès de la Cnil, à partir de son service de plainte en ligne (5) ou par courrier postal (6), si la victime estime que ses données personnelles n’ont pas été suffisamment sécurisées par Free.

Plaintes : Cnil, police et gendarmerie
D’autant que cette violation massive de données personnelles – censées être protégées sans failles – concerne notamment : les noms, prénoms, adresses e-mail et postales, dates et lieux de naissance, numéros de téléphone, identifiants d’abonné et données contractuelles (offres souscrites, dates de souscription, abonnements actifs ou non). Et pour 5,1 millions d’abonnés, sur les 19,2 millions, les références du compte bancaire ou Iban (International Bank Account Number). Les mots de passe ne seraient pas concernés. Mais le gendarme des données personnelles peut « uniquement effectuer des investigations sur des problématiques relevant de la protection des données personnelles ». Et si des manquements sont avérés du côté de Free, il peut alors décider des « mesures correctrices tels que rappels à l’ordre, des mises en demeure ou des sanctions financières ». En revanche, la Cnil ne peut en aucun cas exercer les droits du plaignant à sa place ni être son mandataire et encore moins obtenir des dommages et intérêts et constater les préjudices subis.

Class action à venir contre Free ?
Auprès de la police ou de la gendarmerie si la personne est victime d’une usurpation d’identité, d’une arnaque ou de paiements frauduleux. Cela suppose donc pour le plaignant de se déplacer physiquement pour se rendre dans le commissariat de police ou la brigade de gendarmerie de proximité. Pour trouver leur adresse, le ministère de l’Intérieur a créé un site web (7) permettant de géolocaliser les établissements les plus proches du domicile de la personne concernée. Le site Cybermalveillance.gouv.fr indique, lui, que déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées peut se faire non seulement dans un commissariat de police ou une gendarmerie, mais aussi par courrier postal à la Brigade de lutte contre la cybercriminalité (BL2C) de la Préfecture de police de Paris (36, rue du Bastion, 75017 Paris). Les infractions relèvent du code pénal, avec des peines d’emprisonnement allant d’un an à sept ans et de 15.000 euros à 750.000 euros d’amende (8).
Mais ce que ne dit pas la Cnil, c’est que les abonnés de Free concernés peuvent se regrouper pour engager une action de groupe (class action) ou un recours collectif, afin de demander la cessation de la violation de données personnelles et la réparation du préjudice. De class action, il en est question du côté de Cybermalveillance.gouv.fr qui, parmi ses conseils prodigués aux personnes concernées, suggère « d’engager au besoin une action de groupe ou un recours collectif qui permet aux victimes, représentées par une association de protection de la vie privée et des données personnelles ou une association de défense des consommateurs agréée au niveau national, de saisir la justice pour demander la cessation de la violation de données personnelles et la réparation du préjudice » (9).
Ces associations de consommateurs agréées en France pour défendre les consommateurs sont : l’UFC-Que Choisir, la CLCV, l’ULCC, l’Unaf, etc. (10). Elles aident à régler les litiges de la vie quotidienne, soit à l’amiable, soit par l’action en justice pour défendre l’intérêt collectif des consommateurs ou pour intenter des actions de groupe, et à demander réparation des préjudices subis par les consommateurs. Free avait par exemple déjà fait l’objet d’une action de groupe engagée en mars 2019 par l’UFC-Que Choisir pour obtenir l’arrêt et le remboursement des facturations injustifiées dont avaient été victimes les consommateurs au moment de la restitution de leur téléphone portable loué auprès de l’opérateur télécoms (11). Le 13 décembre 2022, le tribunal judiciaire de Paris avait déclaré irrecevable cette action de groupe. Mais l’Union fédérale des consommateurs Que Choisir a fait appel du jugement et l’affaire est toujours pendante devant la cour d’appel de Paris (12). « Après avoir plaidé pendant des décennies pour l’instauration d’une action de groupe, seule procédure permettant l’indemnisation, en un seul procès, des victimes de litiges de masse, l’UFC-Que Choisir a obtenu la création de cette procédure en 2014, rappelle l’association. Si certaines ont pu faire l’objet de transactions aboutissant à l’indemnisation des consommateurs, la plupart sont toujours en cours. L’association a engagé une dizaine d’actions depuis l’entrée en vigueur de la réforme ».
En effet, c’est la loi « Hamon » du 17 mars 2014 qui a introduit en France la class action, pratiquée depuis longtemps dans les pays anglo-saxons. L’Union européenne avait préparé le terrain avec la directive « Protection des intérêts des consommateurs » de 2009, laquelle fut abrogée par la directive « Actions représentatives visant à protéger les intérêts collectifs des consommateurs » du 25 novembre 2020 (13). Pour l’heure, une enquête préliminaire suit son cours du côté de la « cyberpolice » : elle a été diligentée sur les instructions de la section J3 du parquet de Paris et est ouverte à la BL2C (Brigade de lutte contre la cybercriminalité) de la direction de la police judiciaire de la Préfecture de police de Paris. Elle porte sur « les infractions d’atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit », comme l’indique Cybermalveillance.gouv.fr.

RGPD : Free (Iliad) risque une amende salée
De son côté, Free a mis en place un numéro vert (gratuit), disponible 7j/7 de 9h à 18h, pour toute question et demande de renseignement de ses clients : 0 805 921 100. A l’issue de l’enquête de la Cnil, épaulée par la police et la gendarmerie, les abonnés sauront si la responsabilité de la fuite de leurs données personnelles incombe à Free et s’il y a eu manquement au règlement général sur la protection des données (RGPD). L’opérateur télécoms, filiale du groupe Iliad dirigé par Thomas Reynaud (photo ci-dessus), risque une amende pouvant aller jusqu’à 7 % de son chiffre d’affaires, à laquelle pourrait s’ajouter par ailleurs des dommages et intérêts à ses clients en cas de préjudice reconnu par la justice. @

Charles de Laubier

Data Transfer Initiative, cofondée par Google, Apple et Meta, accélère

Publié le par

Depuis que le DMA et le Data Act, sur fond de RGPD, sont entrés en vigueur dans l’Union européenne, les grandes plateformes numériques s’organisent pour mettre en pratique la portabilité des données. Google, Apple et Meta accélèrent dans ce domaine via la Data Transfer Initiative (DTI).

Permettre aux utilisateurs de réaliser des transferts de données simples, rapides et sécurisés, directement entre les services. Telle est la promesse de l’organisation Data Transfer Initiative (DTI), basée à Washington et cofondée en 2018 par trois des GAFAM : Google, Meta et Apple. Ces travaux se sont accélérés avec l’entrée en vigueur le 1er janvier 2024 du Data Act (DA), le règlement européen sur « l’équité de l’accès aux données et de l’utilisation des données » (1), et le 7 mars 2024 du Digital Markets Act (DMA), le règlement sur les marchés numériques (2).

Transférabilité des photos, vidéos et musiques
Que dit le DMA au juste ? « Le contrôleur d’accès [gatekeepers] assure aux utilisateurs finaux et aux tiers autorisés par un utilisateur final, à leur demande et gratuitement, la portabilité effective des données fournies par l’utilisateur final ou générées par l’activité de l’utilisateur final dans le cadre de l’utilisation du service de plateforme essentiel concerné, y compris en fournissant gratuitement des outils facilitant l’exercice effectif de cette portabilité des données, et notamment en octroyant un accès continu et en temps réel à ces données ». Tandis que le DA, lui, consacre le « droit à la portabilité des données » vis-à-vis non seulement des GAFAM (et tout gatekeepers) mais aussi des fournisseurs de services de cloud. La portabilité des données est également prévue par le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018 (3).
Aussi, sous la pression de l’Union européenne, les travaux de la DTI s’intensifient, comme l’explique Chris Riley (photo), le directeur de cette organisation américaine : « Longtemps considérée comme une question de niche – qualifiée étiquetée comme “un droit obscur des personnes concernées” –, la portabilité des données a pris beaucoup plus d’importance ces dernières années, notamment dans le règlement sur les marchés numériques et celui sur les données. Son impact va au-delà même des contextes de la protection des données et de la concurrence, allant jusqu’à la sécurité en ligne et la gouvernance de l’IA ». Car, toujours dans les Vingt-sept, le règlement sur l’intelligence artificielle (AI Act) est à son tour entré en vigueur, depuis le 1er août 2024 (4). La DTI a donc engagé des travaux sur la portabilité de l’IA personnelle, avec la collaboration de la start-up californienne Inflection (5) qui crée une IA personnelle pour tout le monde, baptisée Pi. Le 18 juin dernier, la DTI a partagé – à l’attention du nouveau Parlement européen – sa vison sur la politique de l’UE pour « responsabiliser les gens par la portabilité des données » et à travers cinq priorités : « Mettre en œuvre les lois existantes de manière efficace ; établir la confiance entre les fournisseurs ; promouvoir la neutralité technologique ; investir dans la sensibilisation et l’engagement ; évaluer la transférabilité dans la pratique, et non sur le papier » (6).

Concrètement, la DTI a annoncé le 27 août dernier un outil de transfert des playlists de musique en streaming, adopté par Google et Apple pour assurer le passage d’Apple Music à YouTube Music et vice-versa. Grâce au Data Transfer Project (DTP) développé en open source, cette portabilité musicale est opérationnelle depuis début septembre.
L’utilisateur, lui, n’a pas à télécharger ses contenus. « Ce qui est transféré n’est pas la bibliothèque musicale, mais les playlists d’un utilisateur. La sélection et l’ordre des chansons dans cette liste reflètent la créativité humaine et l’investissement de l’émotion et du temps. Comme le transfert de playlists ne comprend pas les copies des fichiers des chansons elles-mêmes, faire correspondre les chansons sur la destination finales devient un défi potentiel », indique Chris Riley (7), qui fut directeur des affaires publiques de Mozilla (Firefox). L’une des difficultés est de respecter le choix musical de l’utilisateur – comme ne pas confondre un enregistrement en studio et une captation en concert. Une autre passerelle entre Apple et Google dans la portabilité des données avait été présentée le 10 juillet dernier par la DTI : le transfert direct entre cette fois Google Photos et l’iCloud Photo d’Apple. Ce principe de réciprocité est désormais opérationnel, toujours grâce au DTP open source.

Meta met ses outils de transfert dans DTP
De son côté, Meta a lancé fin 2019 un outil sur Facebook qui permet de transférer des messages (posts), des photos et des vidéos directement de Facebook vers des services tiers comme Google Photos (8). « La nouveauté pour Meta est que ses outils entrent désormais dans le cadre du DTP de DTI », précise Chris Riley à Edition Multimédi@. Mais de prévenir : « Une portabilité efficace ne se limite pas à offrir des outils de transfert de données. Il faut réfléchir soigneusement à l’ingénierie et à la conception pour s’assurer que les données d’une personne sont intactes lorsqu’elles passent d’un service à un autre » (9). @

Charles de Laubier

S’il y a un marché qui est en plein boom, c’est bien celui des VPN — grand public et entreprises

Publié le par

Le marché mondial des VPN, pour masquer son adresse IP afin de contourner anonymement les interdictions d’accès sur le Web, va presque tripler d’ici la fin de la décennie. Les offres prolifèrent dans un contexte de censures (notamment étatiques) et de géo-restriction (comme pour le droit d’auteur).

« La demande de VPN augmente dans le monde entier, constate encore aujourd’hui le site Top10VPN fondé par Antonio Argiolas (photo) pour tracker en direct les pics de demande de VPN dans tous les pays (1). Chaque fois que les gouvernements du monde entier tentent de contrôler la population en perturbant l’accès à Internet, les gens se tournent vers les VPN afin de contourner les restrictions ». Bien que les applications VPN gratuites soient attractives, il conseille de faire preuve de prudence et d’utiliser un VPN gratuit digne de confiance ou, dans la mesure du possible, un VPN premium payant.

La hausse de la censure profite aux VPN
Les VPN grand public, gratuits ou payants, tirent parti de cet engouement. NordVPN, ExpressVPN, Surfshark, CyberGhost, Proton VPN ou encore Private Internet Access (PIA) rivalisent avec les VPN des navigateurs web Firefox (Mozilla), Edge (Microsoft) ou Pixel VPN (ex-Google One VPN). Rien qu’en 2024, la demande en VPN a bondi au Brésil à la suite de la censure de X (ex-Twitter), qui a d’abord fermé ses bureaux dans le pays avant que la Cour suprême brésilienne ne confirme le 2septembre (2) l’interdiction d’accès au réseau social appartenant à Elon Musk (3). Même poussée de VPN au Venezuela, en Turquie, au Bangladesh, au Kenya ou encore en Birmanie. Les réseaux privés virtuels – ou Virtual Private Networks (VPN) – ont plus que jamais le vent en poupe.
Selon une étude réalisée en août par la société américaine Global Industry Analysts, le marché mondial des VPN devait bondir à 137,7 milliards de dollars de chiffre d’affaires d’ici 2030, contre 50,9 milliards en 2023. Cela représente une hausse annuelle moyenne de + 15,3 %. « La croissance du marché des VPN est attribuable à plusieurs facteurs, dont une sensibilisation accrue du public aux menaces de cybersécurité, des règlements stricts en matière de protection des données, et l’augmentation généralisée des accords de travail à distance depuis la pandémie de covid-19 », expliquent les analystes.

Entre télétravail et cybermenaces, les entreprises s’équipent de plus en plus de VPN pour se protéger contre les intrusions en tout genre, notamment lorsqu’elles ont plusieurs sites distants auxquels leurs employés se connectent (de leur domicile par exemple). Ainsi, les VPN dits managés (Managed VPN ou Cloud VPN) constituent un segment dynamique. C’est le cas des VPN dits MPLS (pour Multiprotocol Label Switching), pour plus de sécurité et de cryptage de bout en bout, qui devraient générer à eux seuls 67,4 milliards de dollars de chiffre d’affaires mondial d’ici la fin de la décennie. Cependant, Talos, centre de recherche sur la cybersécurité appartement à l’équipementier télécom américain Cisco, a signalé au printemps dernier des cyberattaques dites « par force brute » qui visent pour la plupart des services de réseau privé virtuel tels que Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek ou encore Ubiquiti (4). Les cyberhackers ou cybercriminels, eux, se camouflent derrière des proxys (logiciels intermédiaires) ou des VPN pour lancer leurs cyberattaques de façon anonyme en utilisant des milliers d’adresse IP à partir de services comme Tor ou VPN Gate. Les entreprises « VPNisées » sont donc appelées à plus de vigilance.
D’autres raisons expliquent l’engouement pour les VPN comme outils de protection et d’anonymisation en ligne. « La pénétration croissante de l’utilisation d’Internet et des appareils mobiles dans les marchés émergents contribue également à la croissance, car les nouveaux utilisateurs cherchent des moyens de sécuriser leurs activités en ligne », souligne l’étude. Autre motivation pour s’équiper d’un VPN : les changements législatifs et réglementaires – tels que le RGPD en Europe et des règlementations similaires ailleurs dans le monde – ont incité des utilisateurs, tant professionnels que particuliers, à adopter des services de VPN pour assurer d’être en conformité et de protéger la confidentialité des données.
La guerre en Ukraine depuis février 2022 contribue elle aussi à une utilisation accrue de VPN, notamment pour des Russes soucieux d’échapper à la censure de plateformes Internet d’origine occidentale (Facebook, Twitter, la BBC News, …).

Copyright : VPN contre le géo-blocage
Le « territorialité des droits » de diffusion des œuvres culturelles (films, séries, jeux vidéo, musiques, livres, …) est aussi dans le viseur des VPN (proxys ou unblockers), qui permettent à leurs utilisateurs de contourner le géo-blocage. Par exemple, les sites de streaming vidéo tels que Netflix, Hulu, HBO ne sont pas accessibles de n’importe quel endroit du globe. En France, des VPN peuvent-être utilisés pour accéder à des sites pirates en évitant la « réponse graduée » de l’Arcom (ex-Hadopi). Dans le e-commerce, le géo-blocage est considéré par la Commission européenne comme une entrave au marché unique européen (5). @

Charles de Laubier

En prenant X en grippe, Thierry Breton crée un malaise au sein de la Commission européenne

Publié le par

Dix mois après sa première lettre du 10 octobre 2023 à Elon Musk pour lui rappeler les obligations de X (ex-Twitter) au regard du Digital Services Act (DSA), Thierry Breton lui a envoyé une seconde lettre le 12 août 2024. A force d’insister, le commissaire européen créé un malaise à Bruxelles.

Thierry Breton (photo) outrepasse-t-il ses fonctions de commissaire européen en charge du Marché intérieur ? C’est à se demander, tant le Français – que le président de la République française Emmanuel Macron souhaite voir reconduit dans ses fonctions pour le prochain mandat de la Commission européenne – se distingue en prenant parfois des initiatives sans se concerter avec ses collègues à Bruxelles. Il en va ainsi avec le second courrier en dix mois adressé le 12 août 2024 à Elon Musk pour rappeler à ce dernier les obligations du réseau social X (ex- Twitter) en Europe.

Thierry Breton désavoué face à Elon Musk
« Le timing et la formulation de la lettre n’ont été ni coordonnés ni convenus avec la présidente [Ursula von der Leyen] ou le collège [des commissaires européens] », a déclaré Arianna Podestà, porte-parole en cheffe-adjointe de la Commission européenne, selon sa déclaration faite au journal Le Monde. Et d’assurer : « La lettre [de Thierry Breton] ne voulait en aucun cas interférer avec les élections américaines. L’UE n’interfère pas dans des élections » (1). Pourtant, le courrier à Elon Musk daté du 12 août et signé par le commissaire européen au Marché intérieur fait explicitement référence à « la diffusion prévue sur votre plateforme X [en s’adressant à Elon Musk, ndlr] d’une conversation en direct entre un candidat à la présidence américaine et vous-même, qui sera également accessible aux utilisateurs de l’UE ».
Et Thierry Breton d’enfoncer le clou en mettant en garde le propriétaire de la plateforme X : « Nous surveillons les risques potentiels dans l’UE associés à la diffusion de contenu pouvant inciter à la violence, à la haine et au racisme en lien avec un événement politique – ou sociétal – majeur à travers le monde, y compris des débats et des interviews dans le contexte d’élections [en l’occurrence ici des élections américaines, ndlr] ». Dans cette lettre que la présidente de la Commission européenne ne cautionne pas, il est fait ainsi clairement référence à l’interview, prévu le lendemain, que Elon Musk fera lui-même de Donald Trump, candidat Républicain à l’élection présidentielle. L’« interférence » du commissaire européen Thierry Breton aurait pu être considérée comme de l’ingérence de la Commission européenne dans les affaires intérieures des Etats-Unis s’il n’y avait pas eu la mise au point de la porte-parole en cheffe-adjointe de l’exécutif européen. Désavoué par les services de la présidente Ursula von der Leyen, laquelle a été réélue le 18 juillet dernier par les eurodéputés pour un nouveau mandat, Thierry Breton a aussi reçu une réplique cinglante de la part du propriétaire de X.

« Pour être honnête, j’avais vraiment envie de répondre avec ce mème de Tonnerre sous les tropiques, mais je ne ferais JAMAIS quelque chose d’aussi grossier et irresponsable ! », a lancé ironique Elon Musk en illustrant son propos d’un mème où l’on peut lire une réplique insultante tirée du film américain en question : « Faites un grand pas en arrière. Et littéralement, [enculez] votre propre visage ! » (2). Alors que le premier degré prenait rapidement dans les médias le pas sur le second degré, il n’en reste pas moins que ni Ursula von der Leyen ni aucun autre membre du collège de la Commission européenne n’a volé au secours du Français, ni pour s’insurger contre Elon Musk ni défendre la lettre du commissaire européen au Marché intérieur.
Ce courrier du 12 août 2024 – que Edition Multimédi@ republie ici en ligne (3) – rappelle au milliardaire, patron de X, de Tesla et de SpaceX, que « des procédures formelles sont déjà en cours contre X au titre du DSA [Digital Services Act], notamment dans des domaines liés à la diffusion de contenus illicites et à l’efficacité des mesures prises pour lutter contre la désinformation ». Le réseau social X a été la première très grande plateforme en ligne (4) dans l’Union européenne à faire l’objet de l’ouverture, le 18 décembre 2023, d’une « enquête formelle » car soupçonnée d’« enfrein [dre] le règlement sur les services numériques [le DSA] dans des domaines liés à la gestion des risques, à la modération des contenus, aux interfaces trompeuses, à la transparence de la publicité et à l’accès des chercheurs aux données » (5).

X contestera Bruxelles devant la justice
Le réseau de tweets X, qui compte dans le monde plus de 300 millions d’utilisateurs, dont un tiers dans l’Union européenne, est tenu depuis un an maintenant – depuis le 25 août 2023 – de respecter ses obligations envers le DSA. Si l’enquête se poursuit sur le volet concernant la diffusion de contenus illicites et l’efficacité des mesures prises pour lutter contre la manipulation de l’information, la partie concernant les interfaces trompeuses, la transparence de la publicité et l’accès des chercheurs aux données a fait l’objet le 12 juillet 2024 d’un « avis préliminaire selon lequel la plateforme enfreint le DSA » (6). Thierry Breton avait alors brandi la menace d’une sanction financière pouvant aller jusqu’à 6 % de son chiffre d’affaires mondial annuel, avec la contrainte de prendre des mesures pour remédier aux infractions constatées. « X va maintenant pouvoir se défendre, mais si notre avis est confirmé, nous lui imposerons des amendes et exigerons des changements importants », avait prévenu le Français. Elon Musk avait répondu le jour même, décidé à porter l’affaire devant la justice : « Nous attendons avec impatience une bataille très publique devant les tribunaux, afin que les citoyens européens puissent connaître la vérité » (7).

X accusé d’enfreindre le DSA et le RGPD
Par ailleurs, cette fois par la « Cnil » irlandaise (DPC) pour le compte de l’Union européenne, X est accusé d’avoir utilisé illégalement les données personnelles de plus de 60 millions d’utilisateurs européens – sans leur consentement – pour former son IA générative Grok. Annoncé le 8 août 2024 par la Data Protection Commission (DPC), un accord a été trouvé avec X qui a suspendu le traitement de ces données le temps d’examiner la conformité avec le RGPD, le règlement européen sur la protection des données (8). Autant dire que l’ex-Twitter est plus que jamais dans le collimateur de l’Union européenne en général et de Thierry Breton en particulier. D’autant que le commissaire au Marché intérieur s’était, dix mois plus tôt, déjà adressé directement à Elon Musk (photo ci-dessus) dans une lettre datée, elle, du 10 octobre 2023 – que Edition Multimédi@ republie aussi ici en ligne (9).
« Suite aux attaques terroristes menées [le 7 octobre 2023, ndlr] par le Hamas contre Israël, nous avons des indications selon lesquelles votre plateforme est utilisée pour diffuser du contenu illégal et de la désinformation dans l’UE. Je vous rappelle que la loi sur les services numériques établit des obligations très précises en matière de modération des contenus », lui avait écrit Thierry Breton, soit deux jours avant la « demande d’informations à X » formulée par la Commission européenne (10) et un peu plus de deux mois avant que la Commission européenne ne lance, le 18 décembre 2023, sa première enquête formelle à l’encontre de X soupçonné d’enfreindre le DSA.
Dans cette première lettre, le commissaire européen évoque du « contenu violent et terroriste qui semble circuler sur [la] plateforme » qui ne devait pas être autorisé. Et de réprimander le patron de X : « Lorsque vous recevez des notifications de contenu illégal dans l’UE, vous devez agir rapidement, avec diligence et objectivité et supprimer le contenu concerné lorsque cela est justifié. Nous avons reçu, de sources qualifiées, des rapports sur des contenus potentiellement illégaux circulant sur votre service malgré les signalements des autorités compétentes. […] Vous devez mettre en place des mesures d’atténuation proportionnées et efficaces pour faire face aux risques pour la sécurité publique et le discours civique découlant de la désinformation. Les médias publics et les organisations de la société civile signalent largement des cas d’images et de faits faux et manipulés circulant sur votre plateforme dans l’UE, tels que des images anciennes réutilisées de conflits armés sans rapport ou des séquences militaires provenant en réalité de jeux vidéo. Il s’agit d’informations manifestement fausses ou trompeuses ». Le bras de fer entre Musk et Breton est loin d’être terminé. Le milliardaire défend coûte que coûte la liberté d’expression, tandis que le commissaire fait la chasse aux contenus illégaux que le premier considère comme de la censure.
C’est d’ailleurs ce que Elon Musk vient de reprocher au Brésil où il a annoncé le 17 août sa décision de fermer ses bureaux dans ce pays, tout en y laissant accessible X. « La décision de fermer le bureau de X au Brésil a été difficile, mais si nous avions accepté la censure secrète (illégale) et les demandes de remise d’informations privées de @alexandre [le juge brésilien Alexandre de Moraes, ndlr], nous n’aurions pu expliquer nos actions sans avoir honte », a justifié Elon Musk (11). Thierry Breton poussera-t-il X à fermer aussi ses bureaux européens à Dublin, en Irlande ? Le 19 octobre 2023, le média américain Business Insider avait rapporté que Elon Musk menaçait de fermer X en Europe (12).

Contenus illicites versus liberté d’expression
Le 10 juillet 2023, sur Franceinfo, le commissaire européen s’était quelque peu emballé en menaçant d’« interdire l’exploitation sur notre territoire » les plateformes numériques comme l’ex-Twitter qui ne respecteraient pas leurs obligations vis-à-vis du DSA (13). Ses propos ayant soulevé une vague d’inquiétudes sur les risques de censures, il a dû revenir à nouveau sur Franceinfo le 25 août 2023 pour tenter de rassurer : « C’est la garantie de nos libertés, c’est tout sauf le ministère de la censure » (14). Après sa première lettre du 10 octobre, une trentaine d’ONG (15) avaient d’ailleurs réagi en se disant « préoccupé[e]s par l’interprétation » que fait Thierry Breton du DSA, avec « un risque important pour les droits de la personne et le discours public », liberté d’expression comprise. @

Charles de Laubier